Χρήση διαχειριζόμενων ταυτοτήτων για το Azure με το Azure Data Lake Storage

Το Azure Data Lake Storage παρέχει ένα μοντέλο ασφαλείας σε επίπεδα. Αυτό το μοντέλο σάς επιτρέπει να ασφαλίσετε και να ελέγχετε το επίπεδο πρόσβασης στους λογαριασμούς χώρου αποθήκευσης που απαιτούν οι εφαρμογές και το περιβάλλον της επιχείρησής σας, με βάση τον τύπο και το υποσύνολο των δικτύων ή των πόρων που χρησιμοποιούνται. Όταν ρυθμίζονται οι παράμετροι των κανόνων δικτύου, μόνο οι εφαρμογές που ζητούν δεδομένα από το καθορισμένο σύνολο δικτύων ή μέσω του καθορισμένου συνόλου πόρων Azure μπορούν να έχουν πρόσβαση σε ένα λογαριασμό χώρου αποθήκευσης. Μπορείτε να περιορίσετε την πρόσβαση στον λογαριασμό χώρου αποθήκευσης σε αιτήσεις που προέρχονται από καθορισμένες διευθύνσεις IP, περιοχές IP, υποδίκτυα σε ένα Εικονικό δίκτυο Azure (VNet) ή σε παρουσίες πόρων ορισμένων υπηρεσιών Azure.

Οι διαχειριζόμενες ταυτότητες για το Azure, παλαιότερα γνωστές ως ταυτότητα διαχειριζόμενης υπηρεσίας (MSI), βοηθούν στη διαχείριση μυστικών. Οι πελάτες του Microsoft Dataverse που χρησιμοποιούν τις δυνατότητες Azure δημιουργούν μια διαχειριζόμενη ταυτότητα (μέρος της δημιουργίας επιχειρηματικής πολιτικής) που μπορεί να χρησιμοποιηθεί για ένα ή περισσότερα Dataverse περιβάλλοντα. Αυτή η διαχειριζόμενη ταυτότητα που θα διανείμετε στον μισθωτή σας θα χρησιμοποιηθεί από το Dataverse για πρόσβαση στη λίμνη δεδομένων του Azure.

Με τις διαχειριζόμενες ταυτότητες, η πρόσβαση στον λογαριασμό χώρου αποθήκευσης περιορίζεται σε αιτήσεις που προέρχονται από το περιβάλλον Dataverse που σχετίζεται με τον μισθωτή σας. Όταν το Dataverse συνδέεται σε χώρο αποθήκευσης εκ μέρους σας, περιλαμβάνει πρόσθετες πληροφορίες περιβάλλοντος για να αποδειχθεί ότι η αίτηση προέρχεται από ένα ασφαλές, αξιόπιστο περιβάλλον. Αυτό επιτρέπει στον χώρο αποθήκευσης να δώσει πρόσωαση στο Dataverse στο λογαριασμό χώρου αποθήκευσης. Οι διαχειριζόμενες ταυτότητες χρησιμοποιούνται για την υπογραφή των πληροφοριών περιβάλλοντος προκειμένου να εδραιωθεί η εμπιστοσύνη. Αυτή η ενέργεια προσθέτει ασφάλεια σε επίπεδο εφαρμογής εκτός από την ασφάλεια δικτύου και υποδομής που παρέχεται από το Azure για τις συνδέσεις μεταξύ υπηρεσιών Azure.

Προτού ξεκινήσετε

• Το Azure CLI απαιτείται στον τοπικό υπολογιστή σας. Λήψη και εγκατάσταση
• Χρειάζεστε αυτές τις δύο μονάδες PowerShell. Εάν δεν τα έχετε, ανοίξτε το PowerShell και εκτελέστε αυτές τις εντολές:
  • Azure Az PowerShell module: Install-Module -Name Az
  • Azure Az.Resources PowerShell module: Install-Module -Name Az.Resources
  • Power Platform λειτουργική μονάδα PowerShell διαχειριστή: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
• Μεταβείτε σε αυτό το αρχείο συμπιεσμένου φακέλου στο GitHub. Στη συνέχεια, επιλέξτε Λήψη για να το κατεβάσετε. Εξαγάγετε το συμπιεσμένο αρχείο φακέλου σε έναν υπολογιστή σε μια θέση όπου μπορείτε να εκτελέσετε εντολές PowerShell. Όλα τα αρχεία και οι φάκελοι που εξάγονται από έναν συμπιεσμένο φάκελο πρέπει να διατηρούνται στην αρχική τους θέση.
• Συνιστάται η δημιουργία ενός νέου κοντέινερ χώρου αποθήκευσης στην ίδια ομάδα πόρων Azure για την εν λόγω δυνατότητα.

Ενεργοποίηση επιχειρηματικής πολιτικής για την επιλεγμένη συνδρομή Azure

Σημαντικό

Πρέπει να έχετε πρόσβαση ρόλου κατόχου συνδρομής Azure για να ολοκληρώσετε αυτήν την εργασία. Αποκτήστε το αναγνωριστικό συνδρομής Azure από τη σελίδα επισκόπησης για την ομάδα πόρων Azure.

1. Ανοίξτε το Azure CLI με εκτέλεση ως Διαχειριστής και συνδεθείτε στη συνδρομή Azure χρησιμοποιώντας την εντολή: az login Περισσότερες πληροφορίες: συνδεθείτε με το Azure CLI
2. (Προαιρετικό) Εάν έχετε πολλές συνδρομές Azure, φροντίστε να εκτελέσετε Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } για να ενημερώσετε την προεπιλεγμένη συνδρομή σας.
3. Αναπτύξτε τον συμπιεσμένο φάκελο που λάβατε ως μέρος του Πριν ξεκινήσετε για αυτήν τη δυνατότητα σε μια θέση όπου μπορείτε να εκτελέσετε το PowerShell.
4. Για να ενεργοποιήσετε την εταιρική πολιτική για την επιλεγμένη συνδρομή Azure, εκτελέστε τη δέσμη ενεργειών PowerShell./SetupSubscriptionForPowerPlatform.ps1.
   • Δώστε το αναγνωριστικό συνδρομής Azure.

Δημιουργήστε μια εταιρική πολιτική

Σημαντικό

Πρέπει να έχετε πρόσβαση ρόλου κατόχου ομάδας πόρων Azure για να ολοκληρώσετε αυτήν την εργασία. Αποκτήστε το αναγνωριστικό συνδρομής, την τοποθεσία καιτο όνομα ομάδας πόρων Azure από τη σελίδα επισκόπησης για την ομάδα πόρων Azure.

1. Δημιουργήστε την εταιρική πολιτική. Εκτέλεση δέσμης ενεργειών PowerShell ./CreateIdentityEnterprisePolicy.ps1

   • Δώστε το αναγνωριστικό συνδρομής Azure.
   • Δώστε το όνομα της ομάδας πόρων του Azure.
   • Δώστε το όνομα της προτιμώμενης εταιρικής πολιτικής.
   • Δώστε την τοποθεσία της ομάδας πόρων του Azure.

2. Αποθηκεύστε το αντίγραφο του ResourceId μετά τη δημιουργία πολιτικής.

Σημείωμα

Ακολουθούν οι έγκυρες είσοδοι τοποθεσίας που υποστηρίζονται για τη δημιουργία πολιτικής. Επιλέξτε την τοποθεσία που είναι η πιο κατάλληλη για εσάς.

Τοποθεσίες διαθέσιμες για εταιρική πολιτική

Ηνωμένες Πολιτείες EUAP

Ηνωμένες Πολιτείες

Νότια Αφρική

Ηνωμένο Βασίλειο

Αυστραλία

Κορέα

Ιαπωνία

Ινδία

Γαλλία

Ευρώπη

Ασία

Νορβηγία

Γερμανία

Ελβετία

Καναδάς

Βραζιλία

ΗΑΕ

Σιγκαπούρη

Εκχώρηση πρόσβασης ανάγνωσης στην εταιρική πολιτική μέσω Azure

Dynamics 365 οι διαχειριστές και Power Platform οι διαχειριστές μπορούν να έχουν πρόσβαση στο Power Platform κέντρο διαχείρισης για να αντιστοιχίσουν περιβάλλοντα στην εταιρική πολιτική. Για να αποκτήσετε πρόσβαση στις εταιρικές πολιτικές, απαιτείται συνδρομή διαχειριστή θυρίδας αποθήκευσης Azure Key για να εκχωρήσετε τον ρόλο Αναγνώστης στον Dynamics 365 ή Power Platform διαχειριστή. Μόλις εκχωρηθεί ο ρόλος Αναγνώστης, η Dynamics 365 ή Power Platform οι διαχειριστές θα βλέπουν τις εταιρικές πολιτικές στο Power Platform κέντρο διαχείρισης.

Μόνο οι διαχειριστές του Dynamics 365 και του Power Platform στους οποίους έχει ανατεθεί ο ρόλος του αναγνώστη στην εταιρική πολιτική μπορούν να προσθέσουν ένα περιβάλλον στην πολιτική. Άλλοι διαχειριστές του Dynamics 365 ή του PowerPlatform ενδεχομένως να έχουν δυνατότητα προβολής της εταιρικής πολιτικής, αλλά θα δουν ένα σφάλμα όταν επιχειρήσουν να προσθέσουν περιβάλλον στην πολιτική.

Σημαντικό

Πρέπει να έχετε - Microsoft.Authorization/roleAssignments/write δικαιώματα, όπως Πρόσβαση χρήστη Διαχειριστής ή Κάτοχος για να ολοκληρώσετε αυτήν την εργασία.

1. Πραγματοποιήστε είσοδο στην πύλη Azure.
2. Αποκτήστε το ObjectID Power Platform του Dynamics 365 χρήστη διαχειριστή.
   1. Μεταβείτε στην περιοχή Χρήστες .
   2. Ανοίξτε το Κέντρο διαχειριστών του Dynamics 365 ή του Power Platform.
   3. Κάτω από τη σελίδα επισκόπησης για το χρήστη, αντιγράψτε το ObjectID.
3. Αποκτήστε το αναγνωριστικό εταιρικών πολιτικών:
   1. Μεταβείτε στην Εξερεύνηση γραφήματος πόρων Azure.
   2. Εκτελέστε αυτό το ερώτημα: resources | where type == 'microsoft.powerplatform/enterprisepolicies'
   3. Κάντε κύλιση προς τα δεξιά της σελίδας αποτελεσμάτων και επιλέξτε τη σύνδεση Δείτε λεπτομέρειες .
   4. Στη σελίδα Λεπτομέρειες , αντιγράψτε το αναγνωριστικό.
4. Ανοίξτε το Azure CLI και εκτελέστε την ακόλουθη εντολή, αντικαθιστώντας το <objId> με το ObjectID του χρήστη και το <EP Resource Id> με το αναγνωριστικό εταιρικής πολιτικής.
   • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Σύνδεση της επιχειρηματικής πολιτικής στο Dataverse περιβάλλον

Σημαντικό

Πρέπει να έχετε το Διαχειριστής Power Platform ή Dynamics 365 Διαχειριστής ρόλο για να ολοκληρώσετε αυτήν την εργασία. Πρέπει να έχετε το ρόλο Αναγνώστης για την πολιτική επιχείρησης για να ολοκληρώσετε αυτήν την εργασία.

1. Λάβετε το αναγνωριστικό του περιβάλλοντος Dataverse.
   1. Συνδεθείτε στο Power Platform κέντρο διαχείρισης.
   2. Επιλέξτε Περιβάλλοντα και, στη συνέχεια, ανοίξτε το περιβάλλον σας.
   3. Στην ενότητα Λεπτομέρειες (Details ), αντιγράψτε το Αναγνωριστικό περιβάλλοντος (Environment ID).
   4. Για να συνδεθείτε με το περιβάλλον, εκτελέστε αυτήν τη Dataverse δέσμη ενεργειών PowerShell: ./NewIdentity.ps1
   5. Δώστε το αναγνωριστικό του περιβάλλοντος Dataverse.
   6. Δώστε το ResourceId.
      StatusCode = 202 υποδεικνύει ότι η σύνδεση δημιουργήθηκε με επιτυχία.
2. Συνδεθείτε στο Power Platform κέντρο διαχείρισης.
3. Επιλέξτε Περιβάλλοντα και, στη συνέχεια, ανοίξτε το περιβάλλον που καθορίσατε νωρίτερα.
4. Στην περιοχή Πρόσφατες λειτουργίες , επιλέξτε Πλήρες ιστορικό για να επικυρώσετε τη σύνδεση της νέας ταυτότητας.

Ρύθμιση παραμέτρων πρόσβασης δικτύου στο Azure Data Lake Storage Gen2

Σημαντικό

Πρέπει να έχετε ρόλο Azure Data Lake Storage κατόχου Gen2 για να ολοκληρώσετε αυτήν την εργασία.

1. Μετάβαση στην πύλη Azure.

2. Ανοίξτε τον λογαριασμό χώρου αποθήκευσης που είναι συνδεδεμένος στο προφίλ Azure Synapse Link for Dataverse.

3. Στο αριστερό παράθυρο περιήγησης, επιλέξτε Δικτύωση. Στη συνέχεια, στην καρτέλα Τείχη προστασίας και εικονικά δίκτυα (Firewalls and virtual networks ), επιλέξτε τις ακόλουθες ρυθμίσεις:

   1. Ενεργοποιείται από επιλεγμένα εικονικά δίκτυα και διευθύνσεις IP.
   2. Στην περιοχή Παρουσίες πόρων, επιλέξτε Να επιτρέπονται οι υπηρεσίες Azure στη λίστα αξιόπιστων υπηρεσιών για πρόσβαση σε αυτόν τον λογαριασμό χώρου αποθήκευσης

4. Επιλέξτε Αποθήκευση.

Ρύθμιση παραμέτρων πρόσβασης δικτύου στο Azure Synapse Workspace

Σημαντικό

Πρέπει να έχετε έναν ρόλο Azure Synapse Διαχειριστής για να ολοκληρώσετε αυτήν την εργασία.

1. Μετάβαση στην πύλη Azure.
2. Ανοίξτε το Azure Synapse Workspace που έχει συνδεθεί στο προφίλ Azure Synapse Link for Dataverse.
3. Στο αριστερό παράθυρο περιήγησης, επιλέξτε Δικτύωση.
4. Επιλέξτε Να επιτρέπεται στις υπηρεσίες και τους πόρους Azure η πρόσβαση σε αυτόν τον χώρο εργασίας.
5. Εάν υπάρχουν κανόνες τείχους προστασίας IP που έχουν δημιουργηθεί για όλο το εύρος IP, διαγράψτε τους για να περιορίσετε την πρόσβαση στο δημόσιο δίκτυο.
6. Προσθέστε έναν νέο κανόνα τείχους προστασίας IP με βάση τη διεύθυνση IP του υπολογιστή-πελάτη.
7. Επιλέξτε Αποθήκευση όταν τελειώσετε. Περισσότερες πληροφορίες: Azure Synapse Analytics κανόνες τείχους προστασίας IP

Δημιουργήστε ένα νέο Azure Synapse Link for Dataverse με διαχειριζόμενη ταυτότητα

Σημαντικό

Dataverse: Πρέπει να έχετε το Dataverse σύστημα Διαχειριστής ρόλος ασφαλείας. Επιπλέον, οι πίνακες μέσω των οποίων θέλετε να εξαγάγετε Azure Synapse Link πρέπει να έχουν ενεργοποιημένη την ιδιότητα Παρακολούθηση αλλαγών . Περισσότερες πληροφορίες: Επιλογές για προχωρημένους

Azure Data Lake Storage Gen2: Πρέπει να έχετε Azure Data Lake Storage λογαριασμό Gen2 και πρόσβαση σε συμμετέχων ρόλο δεδομένων blob κατόχου και αποθήκευσης. Ο λογαριασμός χώρου αποθήκευσης πρέπει να ενεργοποιήσει τον ιεραρχικό χώρο ονομάτων τόσο για την αρχική ρύθμιση όσο και για τον συγχρονισμό δέλτα. Να επιτρέπεται η πρόσβαση στο κλειδί λογαριασμού αποθήκευσης απαιτείται μόνο για την αρχική ρύθμιση.

Χώρος εργασίας Synapse: Πρέπει να έχετε έναν χώρο εργασίας Synapse και την πρόσβαση Διαχειριστής role Synapse στο Synapse Studio. Ο χώρος εργασίας Synapse πρέπει να βρίσκεται στην ίδια περιοχή με το λογαριασμό Azure Data Lake Storage Gen2. Ο λογαριασμός αποθήκευσης πρέπει να προστεθεί ως συνδεδεμένη υπηρεσία στο Studio. Για να δημιουργήσετε έναν χώρο εργασίας Synapse, μεταβείτε στην ενότητα Δημιουργία χώρου εργασίας Synapse.

Όταν δημιουργείτε τη σύνδεση, το Azure Synapse Link for Dataverse λαμβάνει λεπτομέρειες σχετικά με τη συγκεκριμένη συνδεδεμένη εταιρική πολιτική στο περιβάλλον Dataverse και, στη συνέχεια, αποθηκεύει προσωρινά τη διεύθυνση URL του προγράμματος-πελάτη ταυτότητας για σύνδεση στο Azure.

1. Power Apps Συνδεθείτε και επιλέξτε το περιβάλλον σας.
2. Στο αριστερό παράθυρο περιήγησης, επιλέξτε Azure Synapse Link και, στη συνέχεια, επιλέξτε + Νέα σύνδεση. Εάν το στοιχείο δεν βρίσκεται στο τμήμα παραθύρου του πλαϊνού πίνακα, επιλέξτε ... Περισσότερα και, στη συνέχεια, επιλέξτε το στοιχείο που θέλετε.
3. Συμπληρώστε τα κατάλληλα πεδία, σύμφωνα με την προβλεπόμενη ρύθμιση. Επιλέξτε το λογαριασμό Συνδρομή , Πόρος καιΧώρος αποθήκευσης. Για να συνδεθείτε Dataverse στο χώρο εργασίας Synapse, ενεργοποιήστε την επιλογή Σύνδεση στο χώρο Azure Synapse εργασίας σας . Για μετατροπή δεδομένων Delta Lake, επιλέξτε έναν χώρο συγκέντρωσης Spark.
4. Επιλέξτε Επιλογή εταιρικής πολιτικής με ταυτότητα διαχειριζόμενης υπηρεσίας και, στη συνέχεια, επιλέξτεΕπόμενο .
5. Προσθέστε τους πίνακες που θέλετε να εξαγάγετε και, στη συνέχεια, επιλέξτε Αποθήκευση.

Ενεργοποίηση διαχειριζόμενης ταυτότητας για ένα υπάρχον προφίλ του Azure Synapse Link

Σημείωμα

Για να είναι διαθέσιμη η εντολή Χρήση διαχειριζόμενης ταυτότητας , πρέπει να ολοκληρώσετε την παραπάνω ρύθμιση για να συνδέσετε την εταιρική πολιτική στο περιβάλλον σας Power Apps. Dataverse Περισσότερες πληροφορίες: Σύνδεση της εταιρικής πολιτικής με Dataverse το περιβάλλον

1. Μεταβείτε σε ένα υπάρχον προφίλ Synapse Link από το Power Apps (make.powerapps.com).
2. Επιλέξτε Χρήση διαχειριζόμενης ταυτότητας και, στη συνέχεια, επιβεβαιώστε.

Αντιμετώπιση προβλημάτων

Εάν λάβετε 403 σφάλματα κατά τη δημιουργία της σύνδεσης:

• Οι διαχειριζόμενες ταυτότητες λαμβάνουν επιπλέον χρόνο για τη χορήγηση μεταβατικού δικαιώματος κατά τη διάρκεια του αρχικού συγχρονισμού. Δώστε λίγο χρόνο και δοκιμάστε ξανά τη λειτουργία αργότερα.
• Βεβαιωθείτε ότι ο συνδεδεμένος χώρος αποθήκευσης δεν διαθέτει το υπάρχον Dataverse κοντέινερ (dataverse-environmentName-organizationUniqueName) από το ίδιο περιβάλλον.
• Μπορείτε να προσδιορίσετε τη συνδεδεμένη εταιρική πολιτική και policyArmId εκτελώντας τη δέσμη ενεργειών ./GetIdentityEnterprisePolicyforEnvironment.ps1 PowerShell με το αναγνωριστικό συνδρομής Azure και το όνομα ομάδας πόρων.
• Μπορείτε να αποσυνδέσετε την εταιρική πολιτική εκτελώντας τη δέσμη ενεργειών ./RevertIdentity.ps1 PowerShell με το Dataverse αναγνωριστικό περιβάλλοντος και policyArmId.
• Μπορείτε να καταργήσετε την εταιρική πολιτική εκτελώντας τη δέσμη ενεργειών PowerShell.\RemoveIdentityEnterprisePolicy.ps1 με policyArmId.

Γνωστός περιορισμός

Μόνο μία εταιρική πολιτική μπορεί να συνδέεται στο περιβάλλον Dataverse ταυτόχρονα. Εάν χρειάζεται να δημιουργήσετε πολλές συνδέσεις Azure Synapse Link με ενεργοποιημένη τη διαχειριζόμενη ταυτότητα, βεβαιωθείτε ότι όλοι οι συνδεδεμένοι πόροι Azure βρίσκονται στην ίδια ομάδα πόρων.

Δείτε επίσης

Τι είναι Azure Synapse Link for Dataverse;