Partager via

Utiliser les identités managées pour Azure avec votre Azure Data Lake Storage

  • Article

Azure Data Lake Storage fournit un modèle de sécurité en couches. Ce modèle vous permet de sécuriser et de contrôler le niveau d’accès à vos comptes de stockage requis par vos applications et vos environnements d’entreprise, en fonction du type et du sous-ensemble de réseaux ou de ressources utilisés. Lorsque les règles du réseau sont configurées, seules les applications qui demandent des données sur l’ensemble spécifié de réseaux ou via l’ensemble spécifié de ressources Azure peuvent accéder à un compte de stockage. Vous pouvez limiter l’accès à votre compte de stockage aux demandes provenant d’adresses IP, de plages d’adresses IP, de sous-réseaux spécifiés dans un réseau virtuel Azure (VNet) ou d’instances de ressources de certains services Azure.

Les identités gérées pour Azure, anciennement appelées Managed Service Identity (MSI), facilitent la gestion des secrets. Les clients Microsoft Dataverse qui utilisent les fonctionnalités Azure créent une identité managée (partie de la création de la stratégie d’entreprise) qui peut être utilisée pour un ou plusieurs environnements Dataverse. Cette identité managée qui est approvisionnée dans votre locataire est ensuite utilisée par Dataverse pour accéder à votre Azure Data Lake.

Avec les identités managées, l’accès à votre compte de stockage est limité aux demandes provenant de l’environnement Dataverse associé à votre locataire. Lorsque Dataverse se connecte au stockage en votre nom, il inclut des informations contextuelles supplémentaires pour prouver que la demande provient d’un environnement sécurisé et approuvé. Cela permet au stockage d’accorder à Dataverse l’accès à votre compte de stockage. Les identités managées sont utilisées pour signer les informations de contexte afin d’établir la confiance. Cela ajoute une sécurité au niveau de l’application en plus de la sécurité du réseau et de l’infrastructure fournie par Azure pour les connexions entre les services Azure.

Avant de commencer

  • Azure CLI est requis sur votre ordinateur local. Télécharger et installer
  • Ces deux modules PowerShell sont nécessaires. Si vous ne les avez pas, ouvrez PowerShell et exécutez ces commandes :
    • Module Azure Az PowerShell : Install-Module -Name Az
    • Module PowerShell Azure Az.Resources : Install-Module -Name Az.Resources
    • Power Platform module PowerShell d’administration : Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Accédez à ce fichier de dossier compressé sur GitHub . Ensuite Sélectionner Téléchargez pour le télécharger. Extrayez le fichier de dossier compressé sur un ordinateur, dans un emplacement où vous pouvez exécuter les commandes PowerShell. Tous les fichiers et dossiers extraits d’un dossier compressé doivent être conservés à leur emplacement d’origine.
  • Nous vous recommandons de créer un nouveau conteneur de stockage dans le même groupe de ressources Azure pour intégrer cette fonctionnalité.

Activer la stratégie d’entreprise pour l’abonnement Azure sélectionné

Important

Vous devez disposer d’un accès au rôle Propriétaire d’abonnement Azure pour effectuer cette opération tâche. Obtenez votre ID d’abonnement Azure à partir de la page de présentation du groupe de ressources Azure.

  1. Ouvrez Azure CLI avec run as Administrateur et connectez-vous à votre abonnement Azure à l’aide de la commande : az login Plus d’informations : connectez-vous avec Azure CLI
  2. (Facultatif) Si vous disposez de plusieurs abonnements Azure, assurez-vous d’exécuter Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } pour mettre à jour votre abonnement par défaut.
  3. Développez le dossier compressé que vous avez téléchargé dans le cadre de la section Avant de commencer pour cette fonctionnalité vers un emplacement où vous pouvez exécuter PowerShell.
  4. Pour activer la stratégie d’entreprise pour l’abonnement Azure sélectionné, exécutez le script PowerShell ./SetupSubscriptionForPowerPlatform.ps1.
    • Fournissez l’ID de l’abonnement Azure.

Créer une stratégie d’entreprise

Important

Vous devez disposer d’un accès au rôle Propriétaire du groupe de ressources Azure pour effectuer cette opération tâche. Obtenez votre ID d’abonnement Azure , emplacement et le nom de groupe de ressources à partir de la page de présentation du groupe de ressources Azure.

  1. Créez la stratégie d’entreprise. Exécuter le script PowerShell ./CreateIdentityEnterprisePolicy.ps1

    • Fournissez l’ID de l’abonnement Azure.
    • Indiquez le nom du groupe de ressources Azure.
    • Indiquez le nom de la stratégie d’entreprise préférée.
    • Indiquez l’emplacement du groupe de ressources Azure.

  2. Enregistrez la copie du ResourceId après la création de la politique.

Note

Voici les entrées d’emplacement valides prises en charge pour la création de politiques. Sélectionnez l’emplacement le plus approprié pour vous.

Emplacements disponibles pour la stratégie d’entreprise

États-Unis EUAP

États-Unis

Afrique du Sud

Royaume-Uni

Australie

Corée

Japon

Inde

France

Europe

Asie

Norvège

Allemagne

Suisse

Canada

Brésil

Émirats arabes unis

Singapour

Accorder au lecteur l’accès à la stratégie d’entreprise via Azure

Les administrateurs Dynamics 365 et les administrateurs peuvent accéder auCentre d’administration pour attribuer des environnements à la politique d’entreprise. Power Platform Power Platform Pour accéder aux stratégies d’entreprise, l’appartenance à Azure Key Vault administrateur est requise pour accorder le rôle Lecteur à l’administrateur Dynamics 365 ou Power Platform . Une fois le rôle Lecteur accordé, les administrateurs Dynamics 365 ou Power Platform voient les stratégies d’entreprise sur le Power Platform Centre d’administration.

Seuls les administrateurs Dynamics 365 et Power Platform qui ont obtenu le rôle de lecteur pour la stratégie d’entreprise peuvent ajouter un environnement à la stratégie. Les autres administrateurs Dynamics 365 et Power Platform peuvent afficher la stratégie d’entreprise, mais ils obtiennent une erreur lorsqu’ils essaient d’ajouter un environnement.

Important

Vous devez disposer de - Microsoft.Authorization/roleAssignments/write autorisations, telles que Accès utilisateur Administrateur ou Propriétaire pour terminer cette opération tâche.

  1. Connectez-vous au Portail Azure.
  2. Obtenez l’ObjectID Power Platform de l’utilisateur administrateur Dynamics 365.
    1. Accédez à la zone Utilisateurs .
    2. Ouvrez l’utilisateur administrateur Dynamics 365 ou Power Platform.
    3. Sous la page d’aperçu de l’utilisateur, copiez l’ ObjectID.
  3. Obtenir l’ID des politiques d’entreprise :
    1. Accédez à la ressource Azure Explorateur graphique.
    2. Exécutez cette requête : resources | where type == 'microsoft.powerplatform/enterprisepolicies'Exécuter une requête à partir de la ressource Azure Explorateur graphique
    3. Faites défiler vers la droite de la page de résultats et cliquez sur Sélectionner le lien Voir les détails .
    4. Sur la page Détails , copiez l’ID.
  4. Ouvrez Azure CLI et exécutez la commande suivante, en remplaçant <objId> par l’ ObjectID de l’utilisateur et <EP Resource Id> par l’ID de la stratégie d’entreprise.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Connecter la stratégie d’entreprise à l’environnement Dataverse

Important

Vous devez avoir le rôle Power Platform Administrateur ou Dynamics 365 Administrateur pour terminer ce tâche. Vous devez avoir le rôle Lecteur pour la politique d’entreprise pour terminer cette tâche.

  1. Obtenez l’ID de l’environnement Dataverse.
    1. connectez-vous au Power Platform environnement.
    2. Sélectionner Environnements, puis ouvrez votre Sélectionner.
    3. Dans la section Détails , copiez l’ ID environnement.
    4. Pour créer un lien vers le Dataverse environnement, exécutez ce script PowerShell : ./NewIdentity.ps1
    5. Indiquez l’ID de l’environnement Dataverse.
    6. Fournissez le ResourceId.
      StatusCode = 202 indique que le lien a été créé avec succès.
  2. connectez-vous au Power Platform environnement.
  3. Sélectionner Environnements, puis ouvrez le environnement que vous avez spécifié précédemment.
  4. Dans la zone Opérations récentes , Sélectionner Historique complet pour valider la connexion de la nouvelle identité.

Configurer l’accès réseau à Azure Data Lake Storage Gen2

Important

Vous devez avoir un rôle de Azure Data Lake Storage Propriétaire Gen2 pour terminer ce tâche.

  1. Accédez au portail Azure.

  2. Ouvrez le compte de stockage connecté à votre profil Azure Synapse Link for Dataverse.

  3. Dans le volet de navigation de gauche, Sélectionner Réseau. Ensuite, dans l’onglet Pare-feu et réseaux virtuels , effectuez les réglages suivants :

    1. Activé à partir de réseaux virtuels et d’adresses IP sélectionnés.
    2. Sous Instances de ressources, Sélectionner Autoriser les services Azure de la liste des services approuvés à accéder à ce compte de stockage

  4. Sélectionnez Enregistrer.

Configurer l’accès réseau à Azure Synapse Workspace

Important

Vous devez disposer d’un rôle Azure Synapse Administrateur pour effectuer cette opération tâche.

  1. Accédez au portail Azure.
  2. Ouvrez le Azure Synapse workspace connecté à votre profil Azure Synapse Link for Dataverse.
  3. Dans le volet de navigation de gauche, Sélectionner Réseau.
  4. Sélectionner Autoriser les services et ressources Azure à accéder à cet espace de travail.
  5. S’il existe des règles de pare-feu IP créées pour toutes les plages d’adresses IP, supprimez-les pour restreindre l’accès au réseau public. Azure Synapse paramètres réseau de l’espace de travail
  6. Ajoutez une nouvelle règle de pare-feu IP basée sur l’adresse IP du client.
  7. Ensuite, cliquez sur Enregistrer. Plus d’informations : Azure Synapse Analytics Règles de pare-feu IP

Important

Dataverse:Vous devez avoir le Dataverse système Administrateur rôle de sécurité. De plus, les tables que vous souhaitez exporter via Azure Synapse Link doivent avoir la propriété Suivre les modifications activée. Plus d’informations : Options avancées

Azure Data Lake Storage Gen2 : vous devez disposer d’un compte Azure Data Lake Storage Gen2 et d’un accès au rôle Propriétaire et Storage Blob Data collaborateur . Votre compte de stockage doit activer l’espace de noms hiérarchique pour la configuration initiale et la synchronisation delta. Autoriser l’accès à la clé du compte de stockage est requis uniquement pour la configuration initiale.

Espace de travail Synapse : vous devez disposer d’un espace de travail Synapse et de l’accès au rôle Synapse Administrateur dans Synapse Studio. L’espace de travail Synapse doit être dans la même région que votre compte Azure Data Lake Storage Gen2. Le compte de stockage doit être ajouté en tant que service lié dans Synapse Studio. Pour créer un espace de travail Synapse, accédez à Création d’un espace de travail Synapse.

Lorsque vous créez le lien, Azure Synapse Link for Dataverse obtient des détails sur la stratégie d’entreprise actuellement liée dans l’environnement Dataverse, puis met en cache l’URL de la clé secrète client de l’identité pour se connecter à Azure.

  1. connectez-vous à Power Apps et Sélectionner votre Connecter.
  2. Dans le volet de navigation de gauche, Sélectionner Azure Synapse Link, puis Sélectionner + Nouveau lien. Si l’élément n’est pas dans le panneau latéral, Sélectionner …Plus puis Sélectionner l’élément souhaité.
  3. Remplissez les champs appropriés, selon la configuration prévue. Sélectionner l’ abonnement, le groupe de ressources et le compte de stockage. Pour accéder à l’espace de travail Synapse, accédez à l’option Connecter de votre espace de travail. Dataverse Azure Synapse Pour la conversion des données Delta Lake Sélectionner un pool Spark.
  4. Sélectionner Sélectionner Politique d’entreprise avec identité de service gérée, puis Sélectionner Suivant.
  5. Ajoutez les tables que vous souhaitez exporter, puis Sélectionner Enregistrer.

Note

Pour rendre la commande Utiliser l’identité gérée disponible dans Power Apps, vous devez terminer la configuration ci-dessus pour Sélectionner la politique d’entreprise sur votre Dataverse Connecter. Plus d’informations : Connecter politique d’entreprise pour Dataverse environnement

  1. Accédez à un profil Synapse Link existant à partir de Power Apps (make.powerapps.com).
  2. Sélectionner Utilisez l’identité gérée, puis confirmez. Utiliser la commande d’identité gérée dans Power Apps

Résolution des problèmes

Si vous recevez des erreurs 403 lors de la création du lien :

  • Les identités managées prennent plus de temps pour accorder une autorisation provisoire lors de la synchronisation initiale. Patientez quelques instances et recommencez l’opération plus tard.
  • Assurez-vous que le stockage lié ne possède pas le conteneur existant ( Dataverse dataverse-environmentName-organizationUniqueName) du même environnement.
  • Vous pouvez identifier la stratégie d’entreprise liée en exécutant le script PowerShell avec l’ID d’abonnement Azure et le nom du groupe de ressources. policyArmId ./GetIdentityEnterprisePolicyforEnvironment.ps1
  • Vous pouvez dissocier la stratégie d’entreprise en exécutant le script PowerShell ./RevertIdentity.ps1 avec l’ID Dataverse environnement et policyArmId.
  • Vous pouvez supprimer la stratégie d’entreprise en exécutant le script PowerShell .\RemoveIdentityEnterprisePolicy.ps1 avec policyArmId.

Limitation connue

Une seule stratégie d’entreprise peut se connecter simultanément à l’environnement Dataverse . Si vous devez créer plusieurs Azure Synapse Link liens avec l’identité managée activée, assurez-vous que toutes les ressources Azure liées se trouvent dans le même groupe de ressources.

Voir aussi

Qu’est-ce que Azure Synapse Link for Dataverse?