Problembehandlung bei Microsoft Graph Data Connect

  • Artikel

Mit Microsoft Graph Data Connect können Sie Microsoft 365-Daten in Azure erweitern, um Anwendungen für Analysen, Intelligenz und Geschäftsprozessoptimierung zu erstellen. Dieser Artikel enthält Informationen zur Problembehandlung für die Arbeit mit Microsoft Graph Data Connect.

Wenden Sie sich bei weiteren Fragen an das Data Connect-Team.

Probleme mit der Dienstprinzipalüberprüfung beim Ausführen Ihrer ersten Pipeline

Wenn Probleme beim erstmaligen Ausführen Ihrer Pipelines auftreten, überprüfen Sie, ob Sie die Besitzer für den verknüpften Quelldienst wie folgt definiert haben:

  • Der Besitzer des Dienstprinzipals muss ein gültiges Benutzerkonto innerhalb des Mandanten und kein anderer Dienstprinzipal sein.

  • Das Konto des Besitzers muss über Folgendes verfügen:

    • Ein gültiges Postfach, entweder über eine Exchange Online-Lizenz oder einen Exchange Online-Plan innerhalb einer Office 365- oder Microsoft 365-Lizenz.

    • Ein Office 365- oder Microsoft 365 E5-Abonnement zugewiesen. Es müssen keine bestimmten Dienste innerhalb der Lizenz aktiviert werden, es sei denn, der Benutzer verfügt über eine separate Exchange Online-Lizenz. In diesem Fall muss der Exchange Online Plan aktiviert werden.
      Hinweis: Für dieses Konto muss die Rolle "Global Admin" nicht aktiviert sein. Dies ist nur für Genehmigenden Konten erforderlich, die Anforderungen über das Admin Center genehmigen.

    • Da Data Connect das Berechtigungszugriffsverwaltungssystem verwendet, um Zustimmungsanforderungen zu generieren, sind E5-Lizenzen erforderlich. Weitere Informationen finden Sie unter Integration in PAM und Erste Schritte mit der Verwaltung des privilegierten Zugriffs.

  • Wenn das besitzende Mitglied im System eines Mandanten nicht mehr gültig ist, schlagen Pipelines diese Überprüfung fehl, es sei denn, ein aktuell gültiger Benutzer innerhalb des Mandanten besitzt das Konto. Wenn es zu einer Änderung des Besitzes kommt, stellen Sie sicher, dass das besitzende Konto auf ein anderes Mitglied aktualisiert wird, das die Anforderungen erfüllt.

Probleme mit pam-genehmigenden Personen

Wenn Sie Probleme beim Genehmigen von Aufträgen innerhalb Ihres Mandanten für Die angegebenen Pipelineausführungen oder Extraktionen haben, überprüfen Sie, ob die genehmigenden Personen in Ihrem Mandanten die folgenden Kriterien erfüllen. Bestimmte Berechtigungen müssen bestimmten genehmigenden Personen gewährt werden, damit Aufträge erfolgreich genehmigt werden können.

  • Genehmigende Personen müssen aktive Benutzerkonten innerhalb des Mandanten sein, nicht andere Dienstprinzipale oder Gruppen.

  • Das Benutzerkonto muss über eine Office 365- oder Microsoft 365 E5-Lizenz mit Exchange Online Funktionen und einem Postfach verfügen.

  • Wenn genehmigende Personen Aufträge über die Microsoft 365 Admin Center genehmigen möchten, benötigen sie globale Administratorrechte. Globale Administratorrechte sind nicht erforderlich, wenn Aufträge über das PowerShell-Skript genehmigt werden.

Probleme bei der Extraktion mehrerer Geografischer Mandanten

Manchmal möchten Kunden ihren Pipelines möglicherweise andere Regionen hinzufügen, insbesondere größere Kunden mit multi-geo-Mandanten. Obwohl Multi-Geo-Mandanten Weiterhin Microsoft Graph Data Connect verwenden können, beachten Sie, dass Kunden, wenn sie Daten anfordern, nur Daten für eine Region extrahieren können. Kunden können keine Einzige Pipeline verwenden, um Daten aus mehreren Regionen zu extrahieren. Data Connect erzwingt diese Regel für den Datenschutz und die Sicherheit der Mandantenbenutzer eines Kunden.

Beachten Sie Folgendes, wenn Kunden mit mehreren Geomandanten Daten extrahieren:

  • Data Connect ermöglicht nur das Extrahieren von Datasets aus derselben Region wie der Mandant. Wenn Sie beispielsweise über einen Mandanten in Europa (EUR) verfügen, Aber Ihre Pipeline für Ihre Benutzer in Nordamerika (NAM) ausführen möchten, erhalten Sie nur Daten für Benutzer in NAM, da Sie eine Pipeline für NAM angegeben haben.

  • Multi-Geo-Mandanten können Daten für ihre Mandanten extrahieren, indem sie regionsspezifische Pipelines einrichten. Beispielsweise wird eine Region einer oder einer Gruppe von Pipelines für diese Region zugeordnet.

Aggregieren mehrerer JSON-Dateiausgaben

So kombinieren Sie Dateien:

  1. Fügen Sie nach der Extraktion eine neue Aktivität Daten kopieren hinzu.

    Screenshot von Microsoft Azure mit der Aktivität zum Kopieren von Daten

  2. Legen Sie die Quelle der neuen Aktivität auf den Speicherort fest, an dem Sie die Dateien extrahiert haben (Azure Storage), legen Sie das Dateiformat auf JSON fest, und geben Sie den Pfadpfad für die Wildcarddatei an.

  3. Geben Sie auf der Registerkarte Senke den Speicherort an, an dem die kombinierte Datei erstellt werden soll, und stellen Sie sicher, dass Sie das Verhalten Mergedateien auswählen.

Konnektivitätsproblem mit dem Serverlosen SQL-Pooldienst

Wenn Sie Azure Synapse mit dem Zielspeicherkonto verbinden, tritt möglicherweise ein Problem auf, das dem unter Problem der Notebook-Websocketverbindung beschriebenen ähnelt. Das Problem ist in Verbindung mit Synapse und wie es ein Websocket im Browser einrichtet, um die Daten abzurufen, die standardmäßig auf dem Internetproxy des Kunden blockiert sind.

Sie können dieses Problem mit einer SSP-Anforderung beheben: INTERNT PROXY (SWG) - EXCEPTION ON SECURITY FILTERING POLICY.

Probleme beim Hinzufügen einer Netzwerk-IP-Adresse zur Zulassungsliste mit Azure Integration Runtime

Wenn das Zielspeicherkonto für den öffentlichen Zugriff geschlossen werden muss, müssen Sie den Zugriff für eine bestimmte Gruppe von Azure-Dienst-IP-Adressen zulassen. Kunden müssen Listen-IP-Adressen basierend auf der zielorientierten Office-Region zulassen. Gehen Sie dazu wie folgt vor:

  1. Suchen Sie eine Office-zu-Azure-Regionszuordnung. Informationen zur Office-Region, aus der Sie Benutzerdaten extrahieren möchten, finden Sie in der folgenden Tabelle.

Hinweis

Die Azure-Region, in der Sie eine Pipeline ausführen, muss einer Office-Region zugeordnet sein, um die Benutzer für den Mandanten zu extrahieren. Microsoft Graph Data Connect extrahiert keine Daten regionsübergreifend. Wenn Sie beispielsweise eine Pipeline in der Azure-Region "Europa, Westen" ausführen, werden nur die Benutzer für die Office-Region Europa (EUR) extrahiert, da die Azure-Region "Europa, Westen" der Region "Europa Office" zugeordnet ist.

  1. Nachdem Sie die Zuordnung von Office zu Azure gefunden haben, müssen Sie den kompatiblen Speicherort Ihres Zielspeicherkontos ermitteln (siehe folgende Tabelle). Sie können nachschlagen, wie Sie Ihr Azure-Speicherkonto konfigurieren und Zugriff über einen Internet-IP-Bereich gewähren.

Hinweis

Dies gibt die Azure-Regionen an, die nicht pro Region für den Zielspeicher verwendet werden dürfen , wenn er für den öffentlichen Zugriff geschlossen wird. Dies ist auch die Region, für die die IP-Adressen der Zulassungsliste hinzugefügt werden müssen, um die Datenübermittlung zu ermöglichen. Informationen zum Suchen nach IP-Adressbereichen finden Sie unter Azure-IP-Adressbereiche und -Diensttags.

Ausführliche Informationen zu dieser Zielspeicherregionseinschränkung finden Sie unter:

 

Office-Region Azure-Region Alternative Zu verwendende Azure-Regionen
Asien-Pazifik
  • Ostasien
  • Südostasien*
Australien
  • Australien (Osten)
  • Australien, Südosten*
Europa
  • Nordeuropa
  • Europa, Westen*
Nordamerika
  • USA (Mitte)
  • USA, Osten*
  • USA (Osten) 2
  • USA (Norden, Mitte)
  • USA (Süden, Mitte)
  • USA (Westen, Mitte)
  • USA (Westen)
  • USA (Westen) 2
Vereinigtes Königreich
  • Vereinigtes Königreich, Süden*
  • Vereinigtes Königreich (Westen)
Kanada (CAN)
  • Kanada, Mitte
  • Kanada, Osten*
Japan (JPN)
  • Japan Westen
  • Japan, Osten*
Indien (IND)
  • Indien, Süden*
  • Indien, Mitte
Korea (KOR)
  • Korea zentral
  • Südkorea, Süden
Schweiz (CHE)
  • Schweiz Nord
  • Nordeuropa
  • Westeuropa
Deutschland (DEU)
  • Deutschland, Westen-Mitte*
  • Nordeuropa
  • Westeuropa
Norwegen (NOR)
  • Norwegen, Osten*
  • Nordeuropa
  • Westeuropa
Frankreich (FRA)
  • Frankreich, Mitte*
  • Nordeuropa
  • Westeuropa
VAE (VAE)
  • VAE, Norden*
  • Ostasien
  • Südostasien

Hinweis

  • An diesem Punkt können Kunden die Region verstehen und konfigurieren, aus der sie Benutzer extrahieren möchten (was ihre Office-zu-Azure-Regionszuordnung ist).
  • Kunden können verstehen, in welcher Region sich ihr Zielspeicherkonto nicht befinden darf.
  • Basierend auf einem kompatiblen Zielspeicherkonto können Kunden anhand der Informationen ermitteln, welche IP-Adressen sie der Zulassungsliste hinzufügen müssen.

  1. Sie können eine neue Integrationslaufzeit in derselben Region erstellen, die Sie der Zulassungsliste hinzugefügt haben, oder die automatische Auflösung verwenden, je nach Ihren Einstellungen. Es wird empfohlen, eine neue IR in derselben Region zu erstellen. Weitere Informationen finden Sie unter Azure Integration Runtime IP-Adressen: Bestimmte Regionen.

    • Wenn Sie die Automatische Auflösungs-IR verwenden, hängt die Region von mehreren Faktoren ab. Weitere Informationen finden Sie unter Azure IR-Standort.

Beispiel für Netzwerkzugriff und Azure IR

Im folgenden Beispiel wird beschrieben, wie Sie Probleme mit dem Netzwerkzugriff beheben:

  1. Ein Benutzer möchte Daten für Benutzer in der Region Europa (EUR) Office extrahieren. Sie identifizieren ihre Office-zu-Azure-Regionszuordnung. Da die Office-Region EUR ist, befindet sich die Azure-Region in Europa, Westen.

  2. Alle Ressourcen, ADF und das Speicherkonto befinden sich zunächst in der Azure-Region "Europa, Westen".

  3. Der Benutzer hat das Zielspeicherkonto für den öffentlichen Zugriff geschlossen.

  4. Der Benutzer muss ermitteln, wo sein kompatibles Zielspeicherkonto auf der Office-Region basieren kann, die ich extrahieren möchte (EUR).

  5. Da sie keine Zulassungslistendienste in derselben Region wie das Speicherkonto hinzufügen können, kann sich das Zielspeicherkonto nicht in der Azure-Region "Europa, Westen" befinden. Sie können ein neues Speicherkonto in Europa, Norden erstellen.

  6. Damit interne Data Connect-Dienste die Daten in das Zielspeicherkonto kopieren können, müssen sie der Zulassungsliste IP-Adressen aus kompatiblen Regionen basierend auf ihrer Office-Region (EUR) hinzufügen. Sie müssen der Zulassungsliste in der Azure-Region "Europa, Westen" öffentliche ADF-IP-Adressen hinzufügen.

  7. Damit der verknüpfte ADF-Zieldienst auch auf das Zielspeicherkonto zugreifen kann, muss er eine Integration Runtime in der Region "Europa, Westen" erstellen und verwenden oder stattdessen die IR für die automatische Auflösung verwenden.

  8. Der Benutzer listet diese IP-Adressen auf und verschiebt den Zielspeicher nach Europa, Norden, da die Office-Region EUR und die Azure-Region Europa, Westen ist.

Probleme beim Ausführen Ihrer Pipeline mithilfe von Zuordnungsdatenflüssen

Es wird erwartet, dass bei ersten Ausführungen von Microsoft Graph Data Connect und der Zuordnungsdatenflussaktivität für ein neues Dataset ein Consent Pending Fehler auftritt. Dadurch wird eine Zustimmungsanforderung für den Mandantenadministrator ausgelöst, der privileged Access Management verwenden kann, um die Datenzugriffsanforderung zu überprüfen und zu genehmigen/abzulehnen. So lösen Sie das Problem:

  1. Die Zustimmungsanforderung ist nur 24 Stunden gültig. Wenden Sie sich an Ihren Mandantenadministrator, um die Genehmigung innerhalb dieses Zeitrahmens zu erteilen.

    a. Wenn sie in diesem Zeitraum nicht genehmigt werden, schlagen nachfolgende Ausführungen mit demselben Fehler fehl und generieren eine Zustimmungsanforderung erneut.

    b. Nach der Genehmigung kann die Pipeline jederzeit erneut ausgeführt werden, um Daten abzurufen.

    Abbildung des Fehlers bei der ersten Ausführung von Microsoft Graph Data Connect und des Zuordnungsdatenflusses

  2. Vergewissern Sie sich, dass der Zielspeicher ordnungsgemäß eingerichtet ist, damit die App Daten in ihn schreiben kann.

Probleme mit der App-Registrierung

Die folgenden Szenarien enthalten Informationen zur Problembehandlung beim Registrieren einer Microsoft Entra-App bei Microsoft Graph Data Connect.

Keine Autorisierung

Wenn Sie in der Microsoft Graph Data Connect-Umgebung im Azure-Portal eine Microsoft Fabric-App-Registrierung erstellen oder aktualisieren, versucht das System, eine Ressource vom Typ Microsoft.GraphServices zu Abrechnungszwecken zu erstellen.

Screenshot: Fehler beim Erstellen einer Abrechnungsressource

Die vorherige Abbildung zeigt, dass Sie weder den Microsoft.GraphServices-Ressourcenanbieter registriert haben noch die Berechtigung haben, ihn im ausgewählten Abonnement zu registrieren. Sie müssen einen Abonnementadministrator anfordern, um diesen Ressourcenanbieter zu registrieren. Weitere Informationen finden Sie unter Azure-Ressourcenanbieter und -Typen und Aktivieren von getakteten APIs und Diensten in Microsoft Graph. Die folgende Abbildung zeigt einen registrierten Microsoft.GraphServices-Ressourcenanbieter .

Screenshot: Microsoft.GraphServices-Ressourcenanbieter, der registriert werden soll

Ihr Abonnementadministrator kann auch die folgenden Azure CLI-Befehle verwenden, um den erforderlichen Anbieter und die erforderliche Ressource zu erstellen.

Registrieren Sie den Ressourcenanbieter:

az provider register --namespace 'Microsoft.GraphServices'

Erstellen Sie eine Abrechnungsressource für die App:

az resource create --resource-group <resource_group_name> --name mgdc-<app_id> --resource-type Microsoft.GraphServices/accounts --properties  "{`"appId`": `"<app_id>`"}" --location Global --subscription <subscription_id>

Bereits Premium-Nutzung

Die folgende Fehlermeldung gibt an, dass eine Ressource vom Typ Microsoft.GraphServices bereits manuell für die App mit einem anderen Namen erstellt wurde. Diese Ressource wird zu Abrechnungszwecken verwendet, und es ist keine weitere Aktion erforderlich.

Screenshot: Fehler für die bereits vorhandene Abrechnungsressource

Verwandte Inhalte