Azuren hallittujen tunnistetietojen käyttö Azure Data Lake Storagen kanssa
Azure Data Lake Storage sisältää kerroksittaisen suojausmallin. Tämän mallin avulla voit suojata ja hallita käyttöoikeustasoja, joita sovellukset ja yritysympäristöt vaativat käytettyjen verkkojen tyyppien ja alijoukkojen perusteella. Kun verkkosääntöjä on määritetty, vain sovellukset, jotka pyytävät tietoja tietyn verkkojoukon tai määritetyn Azure-resurssijoukon kautta, voivat käyttää tallennustilatiliä. Voit rajoittaa tallennustilatilin käyttöoikeudet pyyntöihin, jotka ovat peräisin määritetyistä IP-osoitteista, IP-alueilta, Azure-näennäisverkon (VNet) aliverkoista tai joidenkin Azure-palveluiden resurssiesiintymistä.
Azuren hallitut käyttäjätiedot, jotka tunnettiin aiemmin nimellä Managed Service Identity (MSI), auttavat salaisuuksien hallinnassa. Azure-ominaisuuksia käyttävät Microsoft Dataverse -asiakkaat luovat hallitut tunnistetiedot (kuuluu yrityskäytännön luontiin), joita voidaan käyttää yhden tai useamman Dataverse-ympäristön yhteydessä. Näitä vuokraajassa valmisteltuja hallittuja tunnistetietoja käytetään sitten Dataversessä Azure Data Lakesi käyttämiseen.
Hallittuja tunnistetietoja käytettäessä tallennustilatilin käyttöoikeudet rajoitetaan pyyntöihin, jotka ovat peräisin vuokraajaan yhdistetystä Dataverse-ympäristöstä. Kun Dataverse muodostaa yhteyden tallennustilaan puolestasi, se sisältää ylimääräisiä kontekstitietoja sen todistamista varten, että pyyntö on peräisin suojatusta ja luotetusta ympäristöstä. Tämä sallii tallennustilan myöntää Dataverselle käyttöoikeudet tallennustilatiliin. Hallittuja tunnistetietoja käytetään kontekstitietojen allekirjoittamiseen luottamuksen vahvistamiseksi. Tämä lisää sovellustason suojauksen Azuren Azure-palvelujen välisiä yhteyksiä varten tarjoaman verkko- ja infrastruktuurisuojauksen lisäksi.
- Azure CLI on pakollinen paikallisella koneella. Lataa ja asenna
- Tarvitset nämä kaksi PowerShell-moduulia. Jos sinulla ei ole niitä, avaa PowerShell ja suorita seuraavat komennot:
- Azure Az PowerShell module:
Install-Module -Name Az
- Azure Az.Resources PowerShell module:
Install-Module -Name Az.Resources
- Power Platform järjestelmänvalvojan PowerShell-moduuli:
Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
- Azure Az PowerShell module:
- Siirry tähän pakattuun kansiotiedostoon GitHubissa. Valitse sitten Lataa ladataksesi sen. Pura pakattu kansiotiedosto tietokoneelle sijainnissa, jossa voit suorittaa PowerShell-komentoja. Kaikki pakatusta kansiosta puretut tiedostot ja kansiot on säilytettävä alkuperäisessä sijainnissaan.
- Suosittelemme uuden tallennustilasäilön luomista samaan Azure-resurssiryhmään tämän ominaisuuden käyttöönottoa varten.
Tärkeä
Sinulla on oltava Azure-tilauksen omistajaroolin käyttöoikeudet, jotta voit suorittaa tämän tehtävän. Hanki Azure-tilaustunnus Azure-resurssiryhmän yleiskatsaussivulta.
- Avaa Azure CLI suorittamalla Järjestelmänvalvoja ja kirjaudu Azure-tilaukseesi komennolla:
az login
Lisätietoja: kirjaudu sisään Azure CLI:llä - (Valinnainen) Jos sinulla on useita Azure-tilauksia, muista päivittää oletustilauksesi suorittamalla
Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id }
. - Laajenna pakattu kansio, jonka latasit osana Ennen tämän ominaisuuden aloittamista sijaintiin, jossa voit suorittaa PowerShellin.
- Voit ottaa yrityskäytännön käyttöön valitussa Azure-tilauksessa suorittamalla PowerShell-komentosarjan ./SetupSubscriptionForPowerPlatform.ps1.
- Anna Azure-tilauksen tunnus.
Tärkeä
Sinulla on oltava Azure-resurssiryhmän omistajaroolin käyttöoikeus, jotta voit suorittaa tämän tehtävän. Hanki Azure-tilaustunnus , sijainti ja resurssiryhmän nimi Azure-resurssiryhmän yleiskatsaussivulta.
Luo yrityskäytäntö. Suorita PowerShell-komentosarja
./CreateIdentityEnterprisePolicy.ps1
- Anna Azure-tilauksen tunnus.
- Anna Azure-resurssiryhmän nimi.
- Anna ensisijainen yrityskäytännön nimi.
- Anna Azure-resurssiryhmän sijainti.
Tallenna ResourceId-tunnuksen kopio käytännön luonnin jälkeen.
Huomautus
Seuraavat ovat kelvolliset sijaintisyötteet , joita käytäntöjen luonnissa tuetaan. Valitse sopivin sijainti.
Yhdysvallat EUAP
Yhdysvallat
Etelä-Afrikka
Yhdistynyt kuningaskunta
Australia
Etelä-Korea
Japani
Intia
Ranska
Eurooppa
Aasia
Norja
saksa
Sveitsi
Kanada
Brasilia
UAE
Singapore
Dynamics 365 järjestelmänvalvojat ja Power Platform järjestelmänvalvojat voivat käyttää Power Platform hallintakeskusta ympäristöjen määrittämiseen yrityskäytäntöön. Yrityskäytäntöjen käyttäminen edellyttää, että Azure Key Vault -järjestelmänvalvojan jäsenyys myönnetään Lukija Dynamics 365 tai Power Platform järjestelmänvalvojalle. Kun Lukija rooli on myönnetty, Dynamics 365 tai Power Platform järjestelmänvalvojat näkevät yrityksen käytännöt Power Platform hallintakeskuksessa.
Vain Dynamics 365:n ja Power Platformin ja järjestelmänvalvojat, joille on myönnetty yrityskäytännön lukijarooli, voivat lisätä ympäristön käytäntöön. Muut Dynamics 365:n ja Power Platformin järjestelmänvalvojat saattava kyetä näkemään ympäristökäytännön, mutta heillä näyttöön tulee virhe, kun he yrittävät lisätä ympäristön.
Tärkeä
Sinulla on oltava - Microsoft.Authorization/roleAssignments/write
käyttöoikeudet, kuten Käyttäjän käyttöoikeudet Järjestelmänvalvoja tai Omistaja , jotta voit suorittaa tämän tehtävän.
- Kirjaudu Azure-portaaliin.
- Hanki Dynamics 365 Power Platform järjestelmänvalvojakäyttäjän ObjectID.
- Siirry Käyttäjät-alueelle .
- Avaa Dynamics 365:n tai Power Platformin järjestelmänvalvojakäyttäjä.
- Kopioi käyttäjän yleiskatsaussivulla ObjectID.
- Hanki yrityskäytäntöjen tunnus:
- Siirry Azure Resource Graph Exploreriin.
- Suorita tämä kysely:
resources | where type == 'microsoft.powerplatform/enterprisepolicies'
- Vieritä tulossivun oikealle puolelle ja valitse Näytä tiedot -linkki.
- Kopioi tunnus Tiedot-sivulla .
- Avaa Azure CLI ja suorita seuraava komento korvaamalla -komento
<objId>
käyttäjän ObjectID-tunnuksella ja<EP Resource Id>
Enterprise Policy ID-tunnuksella.New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>
Tärkeä
Sinulla on oltava Järjestelmänvalvoja Power Platform tai Dynamics 365 Järjestelmänvalvoja rooli, jotta voit suorittaa tämän tehtävän. Sinulla on Lukija oltava yrityspolitiikan rooli tämän tehtävän suorittamiseksi.
- Hanki Dataverse-ympäristön tunnus.
- Power Platform Kirjaudu hallintakeskukseen.
- Valitse Ympäristöt ja avaa ympäristö.
- Kopioi Tiedot-osassa ympäristötunnus.
- Voit linkittää ympäristöön suorittamalla tämän PowerShell-komentosarjan Dataverse :
./NewIdentity.ps1
- Anna Dataverse-ympäristön tunnus.
- Anna resourceId.
StatusCode = 202 tarkoittaa, että linkin luominen onnistui.
- Power Platform Kirjaudu hallintakeskukseen.
- Valitse Ympäristöt ja avaa sitten aiemmin määrittämäsi ympäristö.
- Valitse Viimeisimmät toiminnot -alueella Koko historia vahvistaaksesi uuden käyttäjätiedon yhteyden.
Tärkeä
Sinulla on oltava Gen2-omistajan Azure Data Lake Storage rooli, jotta voit suorittaa tämän tehtävän.
Siirry Azure-portaaliin.
Avaa Azure Synapse Link for Dataverse -profiiliisi yhdistetty tallennustilatili.
Valitse vasemmassa siirtymisruudussa Verkkoyhteydet. Valitse sitten Palomuurit ja virtuaaliverkot -välilehdessä seuraavat asetukset:
- Käytössä valituista virtuaaliverkoista ja IP-osoitteista.
- ValitseResurssi-esiintymät-kohdassa Salli luotettujen palveluiden luettelossa olevien Azure-palveluiden käyttää tätä tallennustiliä
Valitse Tallenna.
Tärkeä
Sinulla on oltava Azure Synapse Järjestelmänvalvoja rooli, jotta voit suorittaa tämän tehtävän.
- Siirry Azure-portaaliin.
- Avaa Azure Synapse Link for Dataverse -profiiliisi yhdistetty Azure Synapse Workspace.
- Valitse vasemmassa siirtymisruudussa Verkkoyhteydet.
- Valitse Salli Azure-palveluiden ja -resurssien käyttää tätä työtilaa.
- Jos kaikille IP-alueille on luotu IP-palomuurisääntöjä , rajoita julkisen verkon käyttöä poistamalla ne.
- Lisää uusi IP-palomuurisääntö asiakkaan IP-osoitteen perusteella.
- Valitse Tallenna , kun olet valmis. Lisätietoja: Azure Synapse Analytics IP-palomuurisäännöt
Tärkeä
Dataverse: Sinulla on oltava Dataverse järjestelmän Järjestelmänvalvoja käyttöoikeusrooli. Lisäksi taulukoissa, joiden kautta Azure Synapse Link haluat viedä, on oltava käytössä Jäljitä muutokset -ominaisuus. Lisätietoja: Lisäasetukset
Azure Data Lake Storage Gen2: Sinulla on oltava Gen2-tili sekä Azure Data Lake Storage omistajan ja tallennustilan Blob-tietojen osallistuja roolin käyttöoikeus. Tallennustilisi on otettava käyttöön hierarkkinen nimitila sekä alkumääritystä että deltasynkronointia varten. Salli tallennustilin avaimen käyttö vaaditaan vain alkuasennuksessa.
Synapse-työtila: Sinulla on oltava Synapse-työtila ja Synapse Järjestelmänvalvoja roolin käyttöoikeus Synapse Studiossa. Synapse-työtilan on oltava samalla alueella kuin Azure Data Lake Storage Gen2 -tilisi. Tallennustili on lisättävä linkitettynä palveluna Synapse Studioon. Jos haluat luoda Synapse-työtilan, siirry kohtaan Synapse-työtilan luominen.
Kun luot linkin, Azure Synapse Link for Dataverse saa tietoja linkitettynä olevasta yrityskäytännöstä Dataverse-ympäristössä ja tallentaa sitten tunnistetietojen asiakasohjelman salasanan URL-osoitteen välimuistiin Azureen yhdistämistä varten.
- Kirjaudu sisään Power Apps ja valitse ympäristösi.
- Valitse Azure Synapse Link vasemmassa siirtymisruudussa ja valitse sitten + Uusi linkki. Jos kohde ei ole sivupaneeliruudussa, valitse ... Lisää ja valitse sitten haluamasi kohde.
- Täytä asianmukaiset kentät käyttötarkoituksen mukaan. Valitse Tilaus-, Resurssiryhmä - jaTallennustila-tilit . Jos haluat muodostaa yhteyden Dataverse Synapse-työtilaan, valitse Yhdistä työtilaasi Azure Synapse -vaihtoehto. Valitse Delta Lake -tietojen muuntamiseksi Spark-pooli.
- Valitse Valitse Yrityskäytäntö, jossa on hallitut palvelutunnistetiedot ja valitse sitten Seuraava.
- Lisää vietävät taulukot ja valitse sitten Tallenna.
Huomautus
Jotta Käytä hallittuja käyttäjätietoja -komento olisi käytettävissä Power Apps, sinun on viimeisteltävä yllä olevat määritykset, jotta voit yhdistää yrityskäytännön ympäristöösi Dataverse . Lisätietoja: Yrityskäytännön Dataverse yhdistäminen ympäristöön
- Siirry olemassa olevaan Synapse Link -profiiliin Power Appsissa (make.powerapps.com).
- Valitse Käytä hallittuja käyttäjätietoja ja vahvista sitten.
Jos saat 403-virheitä linkin luonnin aikana:
- Hallitut tunnistetiedot tarvitsevat enemmän aikaa tilapäisten oikeuksien myöntämiseen ensimmäisen synkronoinnin yhteydessä. Anna synkronoinnille aikaa ja kokeile toimintoa uudelleen myöhemmin.
- Varmista, että linkitetyssä tallennustilassa ei ole aiemmin luotua Dataverse säilöä (dataverse-environmentName-organizationUniqueName) samasta ympäristöstä.
- Voit tunnistaa linkitetyn yrityskäytännön suorittamalla
policyArmId
PowerShell-komentosarjan./GetIdentityEnterprisePolicyforEnvironment.ps1
Azure-tilaustunnuksella ja resurssiryhmän nimellä. - Voit poistaa yrityskäytännön linkityksen suorittamalla PowerShell-komentosarjan
./RevertIdentity.ps1
ympäristötunnuksella Dataverse japolicyArmId
. - Voit poistaa yrityskäytännön suorittamalla PowerShell-komentosarjan .\RemoveIdentityEnterprisePolicy.ps1 policyArmId-tunnuksella.
Vain yksi yrityskäytäntö voi muodostaa yhteyden Dataverse-ympäristöön samanaikaisesti. Jos haluat luoda useita Azure Synapse Link -linkkejä, joiss on käytössä hallittu tunnistetieto, varmista, että kaikki linkitetyt Azure-resurssit ovat saman resurssiryhmän alla.