Freigeben über

Verwenden Sie verwaltete Identitäten für Azure mit Ihrem Azure Data Lake Storage

  • Artikel

Azure Data Lake Storage bietet ein mehrschichtiges Sicherheitsmodell. Mit diesem Modell können Sie die Zugriffsebene auf Ihre Speicherkonten sichern und steuern, die Ihre Anwendungen und Unternehmensumgebungen erfordern, basierend auf dem Typ und der Teilmenge der verwendeten Netzwerke oder Ressourcen. Wenn Netzwerkregeln konfiguriert sind, können nur Anwendungen, die Daten über den angegebenen Satz von Netzwerken oder über den angegebenen Satz von Azure-Ressourcen anfordern, auf ein Speicherkonto zugreifen. Sie können den Zugriff auf Ihr Speicherkonto auf Anforderungen beschränken, die von bestimmten IP-Adressen, IP-Bereichen, Subnetzen in einem virtuellen Azure-Netzwerk (VNet) oder Ressourceninstanzen einiger Azure-Dienste stammen.

Verwaltete Identitäten für Azure, früher bekannt als Managed Service Identity (MSI), helfen bei der Verwaltung von Geheimnissen. Microsoft Dataverse Kunden, die Azure-Funktionen verwenden, erstellen eine verwaltete Identität (Teil der Unternehmensrichtlinienerstellung), die für eine oder mehrere Dataverse Umgebungen verwendet werden kann. Diese verwaltete Identität, die in Ihrem Mandanten bereitgestellt wird, wird dann von Dataverse verwendet, um auf Ihren Azure Data Lake zuzugreifen.

Bei verwalteten Identitäten ist der Zugriff auf Ihr Speicherkonto auf Anfragen beschränkt, die von der Dataverse Umgebung stammen, die mit Ihrem Mieter verbunden ist. Wenn Dataverse sich in Ihrem Namen mit dem Speicher verbindet, enthält es zusätzliche Kontextinformationen, um zu beweisen, dass die Anfrage aus einer sicheren, vertrauenswürdigen Umgebung stammt. Dies ermöglicht dem Speicher Dataverse-Zugriff auf Ihr Speicherkonto zu gewähren. Verwaltete Identitäten werden verwendet, um die Kontextinformationen zu signieren, um Vertrauen herzustellen. Dadurch wird zusätzlich zur Netzwerk- und Infrastruktursicherheit, die von Azure für Verbindungen zwischen Azure-Diensten bereitgestellt wird, Sicherheit auf Anwendungsebene hinzugefügt.

Bevor Sie beginnen

  • Azure CLI ist auf Ihrem lokalen Computer erforderlich. Herunterladen und installieren
  • Sie benötigen diese beiden PowerShell-Module. Wenn Sie sie nicht haben, öffnen Sie PowerShell und führen Sie diese Befehle aus:
    • Azure Az PowerShell-Modul: Install-Module -Name Az
    • Azure Az.Resources PowerShell-Modul: Install-Module -Name Az.Resources
    • Power Platform PowerShell-Administratormodul: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Gehen Sie zu dieser komprimierten Ordnerdatei auf GitHub. Klicken Sie dann auf Auswählen Download , um es herunterzuladen. Extrahieren Sie die komprimierte Ordnerdatei auf einen Computer an einem Ort, an dem Sie PowerShell-Befehle ausführen können. Alle aus einem komprimierten Ordner extrahierten Dateien und Ordner sollten an ihrem ursprünglichen Speicherort erhalten bleiben.
  • Wir empfehlen, dass Sie einen neuen Speichercontainer unter derselben Azure-Ressourcengruppe erstellen, um dieses Feature zu integrieren.

Aktivieren Sie die Unternehmensrichtlinie für das ausgewählte Azure-Abonnement

Wichtig

Sie müssen über die Rolle Azure-Abonnementbesitzer verfügen, um dies abzuschließen. Aufgabe. Rufen Sie Ihre Azure Abonnement-ID von der Übersichtsseite für die Azure-Ressourcengruppe ab.

  1. Öffnen Sie die Azure CLI mit „Ausführen als Administrator“ und melden Sie sich mit dem folgenden Befehl bei Ihrem Azure-Abonnement an: az login Weitere Informationen: Mit Azure CLI anmelden
  2. (Optional) Wenn Sie über mehrere Azure-Abonnements verfügen, führen Sie unbedingt Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } aus, um Ihr Standardabonnement zu aktualisieren.
  3. Entpacken Sie den komprimierten Ordner, den Sie im Rahmen der Vorbereitungen für diese Funktion heruntergeladen haben, an einen Speicherort, an dem Sie PowerShell ausführen können.
  4. Um die Unternehmensrichtlinie für das ausgewählte Azure-Abonnement zu aktivieren, führen Sie das PowerShell-Skript ./SetupSubscriptionForPowerPlatform.ps1 aus.
    • Azure-Abonnement-ID bereitstellen.

Erstellen einer Unternehmensrichtlinie

Wichtig

Sie müssen über die Rolle „Azure-Ressourcengruppenbesitzer“ Zugriff verfügen, um dies abzuschließen. Aufgabe. Rufen Sie Ihre Azure- Abonnement-ID, Ihren Standort und Ihren Ressourcengruppennamen von der Übersichtsseite der Azure-Ressourcengruppe ab.

  1. Erstellen Sie die Unternehmensrichtlinie. Ausführen des PowerShell-Skripts ./CreateIdentityEnterprisePolicy.ps1

    • Azure-Abonnement-ID bereitstellen.
    • Geben Sie den Namen der Azure-Ressourcengruppe an.
    • Geben Sie den bevorzugten Namen der Unternehmensrichtlinie an.
    • Geben Sie den Speicherort der Azure-Ressourcengruppe an.

  2. Speichern Sie die Kopie der Ressourcen-ID nach der Richtlinienerstellung.

Anmerkung

Im Folgenden sind die gültigen Standort Eingaben aufgeführt, die für die Richtlinienerstellung unterstützt werden. Wählen Sie den Ort, der für Sie am besten geeignet ist.

Für Unternehmensrichtlinien verfügbare Standorte

Vereinigte Staaten EUAP

USA

Südafrika

UK

Australien

Südkorea

Japan

Indien

Frankreich

Europa

Asien

Norwegen

Deutschland

Schweiz

Kanada

Brasilien

VAE

Singapur

Gewähren Sie Lesezugriff auf die Unternehmensrichtlinie über Azure

Dynamics 365-Administratoren und Power Platform Administratoren können auf Power Platform Admin Center zugreifen, um der Unternehmensrichtlinie Umgebungen zuzuweisen. Um auf die Unternehmensrichtlinien zugreifen zu können, ist eine Azure Key Vault-Administratormitgliedschaft erforderlich, um dem Dynamics 365- oder Administrator die Leser-Rolle Power Platform zuzuweisen. Sobald die Leser-Rolle zugewiesen wurde, können die Dynamics 365- oder Power Platform Administratoren die Unternehmensrichtlinien auf Power Platform Admin Center sehen.

Nur Power Platform und Dynamics 365-Administratoren, denen die Leser-Rolle für die Unternehmensrichtlinie gewährt wurde, können der Richtlinie eine Umgebung hinzufügen. Andere Dynamics 365- und PowerPlatform-Administratoren können die Unternehmensrichtlinie möglicherweise anzeigen, aber sie erhalten eine Fehlermeldung, wenn sie versuchen, der Richtlinie eine Umgebung hinzuzufügen

Wichtig

Sie müssen über - Microsoft.Authorization/roleAssignments/write Berechtigungen wie Benutzerzugriff Administrator oder Eigentümer verfügen, um dies abzuschließen Aufgabe.

  1. Melden Sie sich beim Azure-Portal an.
  2. Rufen Sie die Power Platform ObjectID des Dynamics 365-Administratorbenutzers ab.
    1. Gehen Sie zum Bereich Benutzer .
    2. Dynamics 365 oder Power Platform Adminbenutzer öffnen.
    3. Kopieren Sie auf der Übersichtsseite des Benutzers die ObjectID.
  3. Rufen Sie die Unternehmensrichtlinien-ID ab:
    1. Gehen Sie zur Azure Ressource Graph-Tester.
    2. Führen Sie diese Abfrage aus: resources | where type == 'microsoft.powerplatform/enterprisepolicies'Führen Sie die Abfrage von der Azure-Ressource Graph-Tester aus
    3. Scrollen Sie auf der Ergebnisseite nach rechts und Auswählen. Details anzeigen verknüpfen.
    4. Kopieren Sie auf der Seite Details die ID.
  4. Öffnen Sie die Azure CLI, und führen Sie den folgenden Befehl aus. Ersetzen Sie dabei <objId> durch die ObjectID des Benutzers und <EP Resource Id> durch die Unternehmensrichtlinien-ID.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Verbinden Sie die Unternehmensrichtlinie mit der Dataverse Umgebung

Wichtig

Sie müssen über die Rolle Power Platform Administrator oder Dynamics 365 Administrator verfügen, um dies Aufgabe abzuschließen. Um dies abzuschließen, müssen Sie über die Rolle Leser für die Unternehmensrichtlinie verfügen Aufgabe.

  1. Rufen Sie Dataverse-Umgebungs-ID ab.
    1. Melden Sie sich bei Power Platform Admin Center an.
    2. Auswählen Umgebungen, und öffnen Sie dann Ihr Umgebung.
    3. Kopieren Sie im Abschnitt Details die ID Umgebung.
    4. Um verknüpfen in Dataverse Umgebung umzuwandeln, führen Sie dieses PowerShell-Skript aus: ./NewIdentity.ps1
    5. Dataverse-Umgebungs-ID bereitstellen.
    6. Geben Sie die Ressourcen-ID an.
      StatusCode = 202 zeigt an, dass verknüpfen erfolgreich erstellt wurde.
  2. Melden Sie sich bei Power Platform Admin Center an.
  3. Auswählen Umgebungen, und öffnen Sie dann die zuvor angegebene Umgebung.
  4. Klicken Sie im Bereich Letzte Vorgänge auf Auswählen Vollständiger Verlauf , um die Verbindung der neuen Identität zu validieren.

Konfigurieren Sie den Netzwerkzugriff auf Azure Data Lake Storage Gen2

Wichtig

Sie müssen über die Rolle Azure Data Lake Storage Gen2 Eigentümer verfügen, um dies abzuschließen Aufgabe.

  1. Wechseln Sie zum Azure-Portal.

  2. Öffnen Sie das Speicherkonto, das mit Ihrem Azure Synapse Link for Dataverse Profil verbunden ist.

  3. Im linken Navigationsbereich: Auswählen Netzwerk. Nehmen Sie anschließend auf der Registerkarte Firewalls und virtuelle Netzwerke Auswählen die folgenden Einstellungen vor:

    1. Aktiviert von ausgewählten virtuellen Netzwerken und IP-Adressen.
    2. Unter Ressourceninstanzen, Auswählen Azure-Diensten in der Liste der vertrauenswürdigen Dienste den Zugriff auf dieses Speicherkonto erlauben

  4. Wählen Sie Speichern.

Konfigurieren Sie den Netzwerkzugriff auf Azure Synapse Workspace

Wichtig

Sie müssen über eine Azure Synapse Administrator Rolle verfügen, um dies abzuschließen Aufgabe.

  1. Wechseln Sie zum Azure-Portal.
  2. Öffnen Sie den Azure Synapse Workspace, das mit Ihrem Azure Synapse Link for Dataverse Profil verbunden ist.
  3. Im linken Navigationsbereich: Auswählen Netzwerk.
  4. Auswählen Azure-Diensten und -Ressourcen den Zugriff auf diesen Arbeitsbereich erlauben.
  5. Wenn für alle IP-Bereiche IP-Firewallregeln erstellt wurden, löschen Sie diese, um den öffentlichen Netzwerkzugriff einzuschränken. Azure Synapse Netzwerkeinstellungen des Arbeitsbereichs
  6. Fügen Sie basierend auf der Client-IP-Adresse eine neue IP-Firewall-Regel hinzu.
  7. Wählen Sie nach Abschluss Speichern aus. Weitere Informationen: Azure Synapse Analytics IP-Firewallregeln

Wichtig

Dataverse: Sie müssen über das Dataverse System Administrator Sicherheitsrolle verfügen. Darüber hinaus muss für Tabellen, die Sie exportieren möchten, die Eigenschaft Azure Synapse Link Änderungen nachverfolgen aktiviert sein. Weitere Informationen: Erweiterte Optionen

Azure Data Lake Storage Gen2: Sie müssen über ein Azure Data Lake Storage Gen2-Konto und die Rolle Besitzer sowie Storage Blob Data Teilnehmer verfügen. Ihr Speicherkonto muss den Hierarchischen Namespace sowohl für die Ersteinrichtung als auch für die Deltasynchronisierung aktivieren. Zugriff auf Speicherkontoschlüssel zulassen ist nur für die Ersteinrichtung erforderlich.

Synapse-Arbeitsbereich: Sie müssen über einen Synapse-Arbeitsbereich und den Rollenzugriff Synapse Administrator im Synapse Studio verfügen. Der Synapse-Arbeitsbereich muss sich in derselben Region befinden wie Ihr Azure Data Lake Storage Gen2-Konto. Das Speicherkonto muss als verknüpfter Dienst innerhalb von Synapse Studio hinzugefügt werden. Um einen Synapse-Arbeitsbereich zu erstellen, gehen Sie zu Erstellen eines Synapse-Arbeitsbereichs.

Wenn Sie den Link erstellen, ruft Azure Synapse Link for Dataverse Details zur aktuell verknüpften Unternehmensrichtlinie in der Dataverse Umgebung ab und speichert dann die geheime URL des Identitäts-Clients zwischen, um eine Verbindung mit Azure herzustellen.

  1. Melden Sie sich bei Power Apps und Auswählen Ihrem Umgebung an.
  2. Im linken Navigationsbereich Auswählen Azure Synapse Link und dann Auswählen + Neu verknüpfen. Wenn das Element nicht im Seitenleistenbereich ist, Auswählen …Mehr und Auswählen dann das gewünschte Element.
  3. Füllen Sie je nach gewünschtem Setup die entsprechenden Felder aus. Auswählen das Abonnement, die Ressourcengruppe und das Speicherkonto. Um Verbinden Dataverse zum Synapse-Arbeitsbereich hinzuzufügen, Auswählen die Option Verbinden zu Ihrem Azure Synapse Arbeitsbereich . Für die Delta Lake-Datenkonvertierung Auswählen ein Spark-Pool.
  4. Auswählen Auswählen Unternehmensrichtlinie mit verwalteter Dienstidentität und dann Auswählen Weiter.
  5. Fügen Sie die Tabellen hinzu, die Sie exportieren möchten, und klicken Sie dann auf Auswählen Speichern.

Anmerkung

Um den Befehl Verwaltete Identität verwenden in Power Apps verfügbar zu machen, müssen Sie die obige Einrichtung abschließen, um Verbinden die Unternehmensrichtlinie in Ihrem Dataverse Umgebung zu implementieren. Weitere Informationen: Verbinden Unternehmensrichtlinie zu Dataverse Umgebung

  1. Gehen Sie zu einem vorhandenen Synapse Link-Profil von Power Apps (make.powerapps.com).
  2. Auswählen Verwaltete Identität verwenden und dann bestätigen. Verwenden Sie den Befehl „Verwaltete Identität“ in Power Apps

Problembehandlung

Wenn Sie während der Linkerstellung 403-Fehler erhalten:

  • Verwaltete Identitäten benötigen zusätzliche Zeit, um während der anfänglichen Synchronisierung vorübergehende Berechtigungen zu erteilen. Geben Sie ihm etwas Zeit und versuchen Sie es später erneut.
  • Stellen Sie sicher, dass der verknüpfte Speicher nicht den vorhandenen Dataverse Container (dataverse-environmentName-organizationUniqueName) aus demselben Umgebung hat.
  • Sie können die verknüpfte Unternehmensrichtlinie identifizieren, policyArmId indem Sie das PowerShell-Skript ./GetIdentityEnterprisePolicyforEnvironment.ps1 mit der Azure- Abonnement-ID und dem Ressourcengruppennamen ausführen.
  • Sie können die Verknüpfung der Unternehmensrichtlinie aufheben, indem Sie das PowerShell-Skript ./RevertIdentity.ps1 mit der ID Dataverse Umgebung und policyArmId ausführen.
  • Sie können die Unternehmensrichtlinie entfernen, indem Sie das PowerShell-Skript .\RemoveIdentityEnterprisePolicy.ps1 mit policyArmId ausführen.

Bekannte Einschränkung

Es kann immer nur eine Unternehmensrichtlinie gleichzeitig eine Verbindung mit der Dataverse-Umgebung herstellen. Wenn Sie mehrere Azure Synapse Link-Links mit aktivierter verwalteter Identität erstellen müssen, stellen Sie sicher, dass sich alle verknüpften Azure-Ressourcen in derselben Ressourcengruppe befinden.

Siehe auch

Was ist Azure Synapse Link for Dataverse?