Lue englanniksi

Jaa


Azuren hallittujen tunnistetietojen käyttö Azure Data Lake Storagen kanssa

Azure Data Lake Storage sisältää kerroksittaisen suojausmallin. Tämän mallin avulla voit suojata ja hallita käyttöoikeustasoja, joita sovellukset ja yritysympäristöt vaativat käytettyjen verkkojen tyyppien ja alijoukkojen perusteella. Kun verkkosääntöjä on määritetty, vain sovellukset, jotka pyytävät tietoja tietyn verkkojoukon tai määritetyn Azure-resurssijoukon kautta, voivat käyttää tallennustilatiliä. Voit rajoittaa tallennustilatilin käyttöoikeudet pyyntöihin, jotka ovat peräisin määritetyistä IP-osoitteista, IP-alueilta, Azure-näennäisverkon (VNet) aliverkoista tai joidenkin Azure-palveluiden resurssiesiintymistä.

Azuren hallitut käyttäjätiedot, jotka tunnettiin aiemmin nimellä Managed Service Identity (MSI), auttavat salaisuuksien hallinnassa. Azure-ominaisuuksia käyttävät Microsoft Dataverse -asiakkaat luovat hallitut tunnistetiedot (kuuluu yrityskäytännön luontiin), joita voidaan käyttää yhden tai useamman Dataverse-ympäristön yhteydessä. Näitä vuokraajassa valmisteltuja hallittuja tunnistetietoja käytetään sitten Dataversessä Azure Data Lakesi käyttämiseen.

Hallittuja tunnistetietoja käytettäessä tallennustilatilin käyttöoikeudet rajoitetaan pyyntöihin, jotka ovat peräisin vuokraajaan yhdistetystä Dataverse-ympäristöstä. Kun Dataverse muodostaa yhteyden tallennustilaan puolestasi, se sisältää ylimääräisiä kontekstitietoja sen todistamista varten, että pyyntö on peräisin suojatusta ja luotetusta ympäristöstä. Tämä sallii tallennustilan myöntää Dataverselle käyttöoikeudet tallennustilatiliin. Hallittuja tunnistetietoja käytetään kontekstitietojen allekirjoittamiseen luottamuksen vahvistamiseksi. Tämä lisää sovellustason suojauksen Azuren Azure-palvelujen välisiä yhteyksiä varten tarjoaman verkko- ja infrastruktuurisuojauksen lisäksi.

Ennen aloittamista

  • Azure CLI on pakollinen paikallisella koneella. Lataa ja asenna
  • Tarvitset nämä kaksi PowerShell-moduulia. Jos sinulla ei ole niitä, avaa PowerShell ja suorita seuraavat komennot:
    • Azure Az PowerShell module: Install-Module -Name Az
    • Azure Az.Resources PowerShell module: Install-Module -Name Az.Resources
    • Power Platform järjestelmänvalvojan PowerShell-moduuli: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Siirry tähän pakattuun kansiotiedostoon GitHubissa. Valitse sitten Lataa ladataksesi sen. Pura pakattu kansiotiedosto tietokoneelle sijainnissa, jossa voit suorittaa PowerShell-komentoja. Kaikki pakatusta kansiosta puretut tiedostot ja kansiot on säilytettävä alkuperäisessä sijainnissaan.
  • Suosittelemme uuden tallennustilasäilön luomista samaan Azure-resurssiryhmään tämän ominaisuuden käyttöönottoa varten.

Ota yrityskäytäntö käyttöön valitussa Azure-tilauksessa

Tärkeä

Sinulla on oltava Azure-tilauksen omistajaroolin käyttöoikeudet, jotta voit suorittaa tämän tehtävän. Hanki Azure-tilaustunnus Azure-resurssiryhmän yleiskatsaussivulta.

  1. Avaa Azure CLI suorittamalla Järjestelmänvalvoja ja kirjaudu Azure-tilaukseesi komennolla: az login Lisätietoja: kirjaudu sisään Azure CLI:llä
  2. (Valinnainen) Jos sinulla on useita Azure-tilauksia, muista päivittää oletustilauksesi suorittamalla Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } .
  3. Laajenna pakattu kansio, jonka latasit osana Ennen tämän ominaisuuden aloittamista sijaintiin, jossa voit suorittaa PowerShellin.
  4. Voit ottaa yrityskäytännön käyttöön valitussa Azure-tilauksessa suorittamalla PowerShell-komentosarjan ./SetupSubscriptionForPowerPlatform.ps1.
    • Anna Azure-tilauksen tunnus.

Luo yrityskäytäntö

Tärkeä

Sinulla on oltava Azure-resurssiryhmän omistajaroolin käyttöoikeus, jotta voit suorittaa tämän tehtävän. Hanki Azure-tilaustunnus , sijainti ja resurssiryhmän nimi Azure-resurssiryhmän yleiskatsaussivulta.

  1. Luo yrityskäytäntö. Suorita PowerShell-komentosarja ./CreateIdentityEnterprisePolicy.ps1

    • Anna Azure-tilauksen tunnus.
    • Anna Azure-resurssiryhmän nimi.
    • Anna ensisijainen yrityskäytännön nimi.
    • Anna Azure-resurssiryhmän sijainti.
  2. Tallenna ResourceId-tunnuksen kopio käytännön luonnin jälkeen.

Huomautus

Seuraavat ovat kelvolliset sijaintisyötteet , joita käytäntöjen luonnissa tuetaan. Valitse sopivin sijainti.

Yrityskäytännössä käytettävissä olevat sijainnit

Yhdysvallat EUAP

Yhdysvallat

Etelä-Afrikka

Yhdistynyt kuningaskunta

Australia

Etelä-Korea

Japani

Intia

Ranska

Eurooppa

Aasia

Norja

saksa

Sveitsi

Kanada

Brasilia

UAE

Singapore

Lukukäyttöoikeuksien myöntäminen yrityskäytännölle Azuren kautta

Dynamics 365 järjestelmänvalvojat ja Power Platform järjestelmänvalvojat voivat käyttää Power Platform hallintakeskusta ympäristöjen määrittämiseen yrityskäytäntöön. Yrityskäytäntöjen käyttäminen edellyttää, että Azure Key Vault -järjestelmänvalvojan jäsenyys myönnetään Lukija Dynamics 365 tai Power Platform järjestelmänvalvojalle. Kun Lukija rooli on myönnetty, Dynamics 365 tai Power Platform järjestelmänvalvojat näkevät yrityksen käytännöt Power Platform hallintakeskuksessa.

Vain Dynamics 365:n ja Power Platformin ja järjestelmänvalvojat, joille on myönnetty yrityskäytännön lukijarooli, voivat lisätä ympäristön käytäntöön. Muut Dynamics 365:n ja Power Platformin järjestelmänvalvojat saattava kyetä näkemään ympäristökäytännön, mutta heillä näyttöön tulee virhe, kun he yrittävät lisätä ympäristön.

Tärkeä

Sinulla on oltava - Microsoft.Authorization/roleAssignments/write käyttöoikeudet, kuten Käyttäjän käyttöoikeudet Järjestelmänvalvoja tai Omistaja , jotta voit suorittaa tämän tehtävän.

  1. Kirjaudu Azure-portaaliin.
  2. Hanki Dynamics 365 Power Platform järjestelmänvalvojakäyttäjän ObjectID.
    1. Siirry Käyttäjät-alueelle .
    2. Avaa Dynamics 365:n tai Power Platformin järjestelmänvalvojakäyttäjä.
    3. Kopioi käyttäjän yleiskatsaussivulla ObjectID.
  3. Hanki yrityskäytäntöjen tunnus:
    1. Siirry Azure Resource Graph Exploreriin.
    2. Suorita tämä kysely: resources | where type == 'microsoft.powerplatform/enterprisepolicies'Kyselyn suorittaminen Azure Resource Graph Explorerista
    3. Vieritä tulossivun oikealle puolelle ja valitse Näytä tiedot -linkki.
    4. Kopioi tunnus Tiedot-sivulla .
  4. Avaa Azure CLI ja suorita seuraava komento korvaamalla -komento <objId> käyttäjän ObjectID-tunnuksella ja <EP Resource Id> Enterprise Policy ID-tunnuksella.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Yhdistä yrityskäytäntö Dataverse-ympäristöön

Tärkeä

Sinulla on oltava Järjestelmänvalvoja Power Platform tai Dynamics 365 Järjestelmänvalvoja rooli, jotta voit suorittaa tämän tehtävän. Sinulla on Lukija oltava yrityspolitiikan rooli tämän tehtävän suorittamiseksi.

  1. Hanki Dataverse-ympäristön tunnus.
    1. Power Platform Kirjaudu hallintakeskukseen.
    2. Valitse Ympäristöt ja avaa ympäristö.
    3. Kopioi Tiedot-osassa ympäristötunnus.
    4. Voit linkittää ympäristöön suorittamalla tämän PowerShell-komentosarjan Dataverse : ./NewIdentity.ps1
    5. Anna Dataverse-ympäristön tunnus.
    6. Anna resourceId.
      StatusCode = 202 tarkoittaa, että linkin luominen onnistui.
  2. Power Platform Kirjaudu hallintakeskukseen.
  3. Valitse Ympäristöt ja avaa sitten aiemmin määrittämäsi ympäristö.
  4. Valitse Viimeisimmät toiminnot -alueella Koko historia vahvistaaksesi uuden käyttäjätiedon yhteyden.

Määritä verkon käyttöoikeudet Azure Data Lake Storage Gen2:een

Tärkeä

Sinulla on oltava Gen2-omistajan Azure Data Lake Storage rooli, jotta voit suorittaa tämän tehtävän.

  1. Siirry Azure-portaaliin.

  2. Avaa Azure Synapse Link for Dataverse -profiiliisi yhdistetty tallennustilatili.

  3. Valitse vasemmassa siirtymisruudussa Verkkoyhteydet. Valitse sitten Palomuurit ja virtuaaliverkot -välilehdessä seuraavat asetukset:

    1. Käytössä valituista virtuaaliverkoista ja IP-osoitteista.
    2. ValitseResurssi-esiintymät-kohdassa Salli luotettujen palveluiden luettelossa olevien Azure-palveluiden käyttää tätä tallennustiliä
  4. Valitse Tallenna.

Määritä verkon käyttöoikeudet Azure Synapse Workspaceen

Tärkeä

Sinulla on oltava Azure Synapse Järjestelmänvalvoja rooli, jotta voit suorittaa tämän tehtävän.

  1. Siirry Azure-portaaliin.
  2. Avaa Azure Synapse Link for Dataverse -profiiliisi yhdistetty Azure Synapse Workspace.
  3. Valitse vasemmassa siirtymisruudussa Verkkoyhteydet.
  4. Valitse Salli Azure-palveluiden ja -resurssien käyttää tätä työtilaa.
  5. Jos kaikille IP-alueille on luotu IP-palomuurisääntöjä , rajoita julkisen verkon käyttöä poistamalla ne. Azure Synapse Työtilan verkkoasetukset
  6. Lisää uusi IP-palomuurisääntö asiakkaan IP-osoitteen perusteella.
  7. Valitse Tallenna , kun olet valmis. Lisätietoja: Azure Synapse Analytics IP-palomuurisäännöt

Tärkeä

Dataverse: Sinulla on oltava Dataverse järjestelmän Järjestelmänvalvoja käyttöoikeusrooli. Lisäksi taulukoissa, joiden kautta Azure Synapse Link haluat viedä, on oltava käytössä Jäljitä muutokset -ominaisuus. Lisätietoja: Lisäasetukset

Azure Data Lake Storage Gen2: Sinulla on oltava Gen2-tili sekä Azure Data Lake Storage omistajan ja tallennustilan Blob-tietojen osallistuja roolin käyttöoikeus. Tallennustilisi on otettava käyttöön hierarkkinen nimitila sekä alkumääritystä että deltasynkronointia varten. Salli tallennustilin avaimen käyttö vaaditaan vain alkuasennuksessa.

Synapse-työtila: Sinulla on oltava Synapse-työtila ja Synapse Järjestelmänvalvoja roolin käyttöoikeus Synapse Studiossa. Synapse-työtilan on oltava samalla alueella kuin Azure Data Lake Storage Gen2 -tilisi. Tallennustili on lisättävä linkitettynä palveluna Synapse Studioon. Jos haluat luoda Synapse-työtilan, siirry kohtaan Synapse-työtilan luominen.

Kun luot linkin, Azure Synapse Link for Dataverse saa tietoja linkitettynä olevasta yrityskäytännöstä Dataverse-ympäristössä ja tallentaa sitten tunnistetietojen asiakasohjelman salasanan URL-osoitteen välimuistiin Azureen yhdistämistä varten.

  1. Kirjaudu sisään Power Apps ja valitse ympäristösi.
  2. Valitse Azure Synapse Link vasemmassa siirtymisruudussa ja valitse sitten + Uusi linkki. Jos kohde ei ole sivupaneeliruudussa, valitse ... Lisää ja valitse sitten haluamasi kohde.
  3. Täytä asianmukaiset kentät käyttötarkoituksen mukaan. Valitse Tilaus-, Resurssiryhmä - jaTallennustila-tilit . Jos haluat muodostaa yhteyden Dataverse Synapse-työtilaan, valitse Yhdistä työtilaasi Azure Synapse -vaihtoehto. Valitse Delta Lake -tietojen muuntamiseksi Spark-pooli.
  4. Valitse Valitse Yrityskäytäntö, jossa on hallitut palvelutunnistetiedot ja valitse sitten Seuraava.
  5. Lisää vietävät taulukot ja valitse sitten Tallenna.

Huomautus

Jotta Käytä hallittuja käyttäjätietoja -komento olisi käytettävissä Power Apps, sinun on viimeisteltävä yllä olevat määritykset, jotta voit yhdistää yrityskäytännön ympäristöösi Dataverse . Lisätietoja: Yrityskäytännön Dataverse yhdistäminen ympäristöön

  1. Siirry olemassa olevaan Synapse Link -profiiliin Power Appsissa (make.powerapps.com).
  2. Valitse Käytä hallittuja käyttäjätietoja ja vahvista sitten. Hallitun käyttäjätiedon komennon käyttäminen Power Apps

Vianmääritys

Jos saat 403-virheitä linkin luonnin aikana:

  • Hallitut tunnistetiedot tarvitsevat enemmän aikaa tilapäisten oikeuksien myöntämiseen ensimmäisen synkronoinnin yhteydessä. Anna synkronoinnille aikaa ja kokeile toimintoa uudelleen myöhemmin.
  • Varmista, että linkitetyssä tallennustilassa ei ole aiemmin luotua Dataverse säilöä (dataverse-environmentName-organizationUniqueName) samasta ympäristöstä.
  • Voit tunnistaa linkitetyn yrityskäytännön suorittamalla policyArmId PowerShell-komentosarjan ./GetIdentityEnterprisePolicyforEnvironment.ps1 Azure-tilaustunnuksella ja resurssiryhmän nimellä.
  • Voit poistaa yrityskäytännön linkityksen suorittamalla PowerShell-komentosarjan ./RevertIdentity.ps1 ympäristötunnuksella Dataverse ja policyArmId.
  • Voit poistaa yrityskäytännön suorittamalla PowerShell-komentosarjan .\RemoveIdentityEnterprisePolicy.ps1 policyArmId-tunnuksella.

Tunnettu rajoitus

Vain yksi yrityskäytäntö voi muodostaa yhteyden Dataverse-ympäristöön samanaikaisesti. Jos haluat luoda useita Azure Synapse Link -linkkejä, joiss on käytössä hallittu tunnistetieto, varmista, että kaikki linkitetyt Azure-resurssit ovat saman resurssiryhmän alla.

Katso myös

Mikä on Azure Synapse Link for Dataverse?