अपने Azure डेटा लेक स्टोरेज के साथ Azure के लिए प्रबंधित पहचान का उपयोग करें

Azure Data Lake Storage एक स्तरित सुरक्षा मॉडल प्रदान करता है। यह मॉडल आपको अपने स्टोरेज खातों तक पहुंच के स्तर को सुरक्षित और नियंत्रित करने में सक्षम बनाता है, जो आपके अनुप्रयोगों और एंटरप्राइज़ वातावरण की मांग है, जो उपयोग किए गए नेटवर्क या संसाधनों के प्रकार और उपसमूह पर आधारित है। जब नेटवर्क नियम कॉन्फ़िगर किए जाते हैं, तो केवल नेटवर्क के निर्दिष्ट सेट पर या Azure संसाधनों के निर्दिष्ट सेट के माध्यम से डेटा का अनुरोध करने वाले अनुप्रयोग ही संग्रहण खाते तक पहुँच सकते हैं। आप अपने संग्रहण खाते तक पहुँच को निर्दिष्ट IP पतों, IP श्रेणियों, Azure वर्चुअल नेटवर्क (VNet) में सबनेट या कुछ Azure सेवाओं के संसाधन इंस्टेंस से उत्पन्न होने वाले अनुरोधों तक सीमित कर सकते हैं।

Azure के लिए प्रबंधित पहचान, जिसे पहले प्रबंधित सेवा पहचान (MSI) के रूप में जाना जाता था, रहस्यों के प्रबंधन में मदद करती है। Microsoft Dataverse Azure क्षमताओं का उपयोग करने वाले ग्राहक एक प्रबंधित पहचान (एंटरप्राइज़ नीति निर्माण का हिस्सा) बनाते हैं जिसका उपयोग एक या अधिक Dataverse परिवेशों के लिए किया जा सकता है। यह प्रबंधित पहचान जो आपके टेनेंट में प्रावधानित की जाएगी, उसका उपयोग आपके Azure डेटा लेक तक पहुँचने के लिए किया जाता है. Dataverse

प्रबंधित पहचानों के साथ, आपके संग्रहण खाते तक पहुँच आपके टेनेंट से संबद्ध Dataverse पर्यावरण से आने वाले अनुरोधों तक सीमित होती है। जब Dataverse आपकी ओर से स्टोरेज से जुड़ता है, तो इसमें यह साबित करने के लिए अतिरिक्त संदर्भ जानकारी शामिल होती है कि अनुरोध सुरक्षित, विश्वसनीय वातावरण से उत्पन्न हुआ है। इससे स्टोरेज को आपके स्टोरेज खाते तक पहुँच प्रदान करने की अनुमति मिलती है. Dataverse प्रबंधित पहचानों का उपयोग विश्वास स्थापित करने के लिए संदर्भ जानकारी पर हस्ताक्षर करने के लिए किया जाता है। यह Azure सेवाओं के बीच कनेक्शन के लिए Azure द्वारा प्रदान की गई नेटवर्क और अवसंरचना सुरक्षा के अतिरिक्त अनुप्रयोग-स्तरीय सुरक्षा भी जोड़ता है।

प्रारंभ से पहले

• आपके स्थानीय मशीन पर Azure CLI आवश्यक है. डाउनलोड करें और इंस्टॉल करें
• आपको इन दो PowerShell मॉड्यूल की आवश्यकता है। यदि आपके पास ये नहीं हैं, तो PowerShell खोलें और ये कमांड चलाएँ:
  • Azure Az PowerShell मॉड्यूल: Install-Module -Name Az
  • Azure Az.Resources PowerShell मॉड्यूल: Install-Module -Name Az.Resources
  • Power Platform एडमिन पॉवरशेल मॉड्यूल: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
• GitHub पर इस संपीड़ित फ़ोल्डर फ़ाइल पर जाएँ । फिर इसे डाउनलोड करने के लिए डाउनलोड चुनें। संपीड़ित फ़ोल्डर फ़ाइल को कंप्यूटर पर उस स्थान पर निकालें जहां आप PowerShell कमांड चला सकें। संपीड़ित फ़ोल्डर से निकाली गई सभी फ़ाइलें और फ़ोल्डर्स को उनके मूल स्थान पर संरक्षित किया जाना चाहिए।
• हम अनुशंसा करते हैं कि आप इस सुविधा को ऑनबोर्ड करने के लिए उसी Azure संसाधन समूह के अंतर्गत एक नया संग्रहण कंटेनर बनाएँ.

चयनित Azure सदस्यता के लिए एंटरप्राइज़ नीति सक्षम करें

महत्त्वपूर्ण

इस कार्य को पूरा करने के लिए आपके पास Azure सदस्यता स्वामी भूमिका पहुँच होनी चाहिए. Azure संसाधन समूह के अवलोकन पृष्ठ से अपनी Azure सदस्यता ID प्राप्त करें.

1. Azure CLI को व्यवस्थापक के रूप में चलाकर खोलें और निम्न आदेश का उपयोग करके अपनी Azure सदस्यता में लॉग इन करें: az login अधिक जानकारी: Azure CLI के साथ लॉग इन करें
2. (वैकल्पिक) यदि आपके पास एकाधिक Azure सदस्यताएँ हैं, तो अपनी डिफ़ॉल्ट सदस्यता को अपडेट करने के लिए Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } चलाना सुनिश्चित करें.
3. इस सुविधा के लिए शुरू करने से पहले के भाग के रूप में आपके द्वारा डाउनलोड किए गए संपीड़ित फ़ोल्डर को उस स्थान पर विस्तारित करें जहां आप PowerShell चला सकते हैं।
4. चयनित Azure सदस्यता के लिए एंटरप्राइज़ नीति सक्षम करने के लिए, PowerShell स्क्रिप्ट चलाएँ ./SetupSubscriptionForPowerPlatform.ps1.
   • Azure सदस्यता आईडी प्रदान करें.

उद्यम नीति बनाएं

महत्त्वपूर्ण

इस कार्य को पूरा करने के लिए आपके पास Azure संसाधन समूह स्वामी भूमिका पहुँच होनी चाहिए. Azure संसाधन समूह के अवलोकन पृष्ठ से अपना Azure सदस्यता ID, स्थान, और संसाधन समूह नाम प्राप्त करें.

1. उद्यम नीति बनाएं. PowerShell स्क्रिप्ट चलाएँ ./CreateIdentityEnterprisePolicy.ps1

   • Azure सदस्यता आईडी प्रदान करें.
   • Azure संसाधन समूह का नाम प्रदान करें.
   • पसंदीदा एंटरप्राइज़ नीति नाम प्रदान करें.
   • Azure संसाधन समूह स्थान प्रदान करें.

2. नीति निर्माण के बाद ResourceId की प्रतिलिपि सहेजें.

नोट

नीति निर्माण के लिए समर्थित मान्य स्थान इनपुट निम्नलिखित हैं. वह स्थान चुनें जो आपके लिए सबसे उपयुक्त हो।

उद्यम नीति के लिए उपलब्ध स्थान

संयुक्त राज्य अमेरिका EUAP

संयुक्त राज्य

दक्षिण अफ़्रीका

यूके

ऑस्ट्रेलिया

दक्षिण कोरिया

जापान

भारत

फ़्रांस

यूरोप

एशिया

नॉर्वे

जर्मनी

स्विट्ज़रलैंड

कनाडा

ब्राज़ील

UAE

सिंगापुर

Azure के माध्यम से एंटरप्राइज़ नीति तक पाठक को पहुँच प्रदान करें

Dynamics 365 व्यवस्थापक और व्यवस्थापक एंटरप्राइज़ नीति को परिवेश असाइन करने के लिए व्यवस्थापन केंद्र तक पहुँच सकते हैं. Power Platform Power Platform एंटरप्राइज़ नीतियों तक पहुँचने के लिए, Dynamics 365 या व्यवस्थापक को रीडर भूमिका Power Platform प्रदान करने के लिए Azure कुंजी वॉल्ट व्यवस्थापक सदस्यता की आवश्यकता होती है। एक बार रीडर भूमिका प्रदान किए जाने के बाद, Dynamics 365 या Power Platform व्यवस्थापक Power Platform व्यवस्थापक केंद्र पर एंटरप्राइज़ नीतियों को देखेंगे।

केवल Dynamics 365 और Power Platform व्यवस्थापक जिन्हें एंटरप्राइज़ नीति में रीडर भूमिका प्रदान की गई थी, वे ही नीति में 'पर्यावरण जोड़' सकते हैं. अन्य Dynamics 365 और PowerPlatform व्यवस्थापक एंटरप्राइज़ नीति को देखने में सक्षम हो सकते हैं, लेकिन जब वे परिवेश जोड़ने का प्रयास करेंगे तो उन्हें एक त्रुटि मिलेगी.

महत्त्वपूर्ण

इस कार्य को पूरा करने के लिए आपके पास - Microsoft.Authorization/roleAssignments/write अनुमतियाँ होनी चाहिए, जैसे उपयोगकर्ता पहुँच व्यवस्थापक या स्वामी ।

1. Azure पोर्टल में लॉग इन करें.
2. Dynamics 365 Power Platform व्यवस्थापक उपयोगकर्ता का ऑब्जेक्टID प्राप्त करें.
   1. उपयोगकर्ता क्षेत्र पर जाएँ.
   2. Dynamics 365 या Power Platform व्यवस्थापक उपयोगकर्ता खोलें.
   3. उपयोगकर्ता के लिए अवलोकन पृष्ठ के अंतर्गत, ऑब्जेक्टआईडी की प्रतिलिपि बनाएँ।
3. एंटरप्राइज़ नीति आईडी प्राप्त करें:
   1. Azure संसाधन ग्राफ एक्सप्लोरर पर जाएं.
   2. यह क्वेरी चलाएँ: resources | where type == 'microsoft.powerplatform/enterprisepolicies'
   3. परिणाम पृष्ठ के दाईं ओर स्क्रॉल करें और विवरण देखें लिंक का चयन करें।
   4. विवरण पृष्ठ पर, आईडी कॉपी करें.
4. Azure CLI खोलें और निम्न आदेश चलाएँ, <objId> को उपयोगकर्ता की ऑब्जेक्ट आईडी से और <EP Resource Id> को एंटरप्राइज़ नीति आईडी से प्रतिस्थापित करें.
   • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

एंटरप्राइज़ नीति को Dataverse पर्यावरण से कनेक्ट करें

महत्त्वपूर्ण

इस कार्य को पूरा करने के लिए आपके पास Power Platform व्यवस्थापक या Dynamics 365 व्यवस्थापक की भूमिका होनी चाहिए. इस कार्य को पूरा करने के लिए आपके पास एंटरप्राइज़ नीति के लिए रीडर भूमिका होनी चाहिए।

1. Dataverse पर्यावरण आईडी प्राप्त करें.
   1. Power Platform व्यवस्थापक केंद्र में लॉग इन करें.
   2. प्रबंधित करें>पर्यावरण का चयन करें, और फिर अपना परिवेश खोलें.
   3. विवरण अनुभाग में, पर्यावरण आईडी की प्रतिलिपि बनाएँ.
   4. Dataverse पर्यावरण से लिंक करने के लिए, यह PowerShell स्क्रिप्ट चलाएँ: ./NewIdentity.ps1
   5. Dataverse पर्यावरण आईडी प्रदान करें.
   6. ResourceId प्रदान करें.
      StatusCode = 202 इंगित करता है कि लिंक सफलतापूर्वक बनाया गया था।
2. Power Platform व्यवस्थापक केंद्र में लॉग इन करें.
3. प्रबंधित करें>पर्यावरण का चयन करें, और फिर आपके द्वारा पहले निर्दिष्ट किया गया वातावरण खोलें।
4. हाल के ऑपरेशन क्षेत्र में, नई पहचान के कनेक्शन को मान्य करने के लिए पूर्ण इतिहास का चयन करें।

Azure Data Lake Storage Gen2 तक नेटवर्क पहुंच कॉन्फ़िगर करें

महत्त्वपूर्ण

इस कार्य को पूरा करने के लिए आपके पास Gen2 स्वामी की भूमिका होनी चाहिए। Azure Data Lake Storage

1. Azure पोर्टल पर जाएं।

2. अपने Azure Synapse लिंक फॉर Dataverse प्रोफ़ाइल से जुड़ा स्टोरेज खाता खोलें.

3. बाएँ नेविगेशन फलक पर, नेटवर्किंग चुनें. फिर, फ़ायरवॉल और वर्चुअल नेटवर्क टैब पर निम्नलिखित सेटिंग्स का चयन करें:

   1. चयनित वर्चुअल नेटवर्क और IP पते से सक्षम.
   2. संसाधन इंस्टेंस के अंतर्गत, विश्वसनीय सेवाओं की सूची में Azure सेवाओं को इस संग्रहण खाते तक पहुंचने की अनुमति दें चुनें

4. सहेजें चुनें.

Azure Synapse कार्यस्थान पर नेटवर्क पहुँच कॉन्फ़िगर करें

महत्त्वपूर्ण

इस कार्य को पूरा करने के लिए आपके पास Azure Synapse व्यवस्थापक भूमिका होनी चाहिए.

1. Azure पोर्टल पर जाएं।
2. अपने प्रोफ़ाइल से जुड़े Azure Synapse कार्यस्थान को खोलें. Azure Synapse Dataverse
3. बाएँ नेविगेशन फलक पर, नेटवर्किंग चुनें.
4. Azure सेवाओं और संसाधनों को इस कार्यस्थान तक पहुँचने की अनुमति दें का चयन करें.
5. यदि सभी IP रेंज के लिए IP फ़ायरवॉल नियम बनाए गए हैं, तो सार्वजनिक नेटवर्क पहुँच को प्रतिबंधित करने के लिए उन्हें हटा दें।
6. क्लाइंट IP पते के आधार पर एक नया IP फ़ायरवॉल नियम जोड़ें.
7. पूर्ण हो जाने पर सहेजें चुनें. अधिक जानकारी: Azure Synapse Analytics IP फ़ायरवॉल नियम

प्रबंधित पहचान के साथ एक नया Azure Synapse लिंक बनाएँ Dataverse

महत्त्वपूर्ण

Dataverse: आपके पास Dataverse सिस्टम व्यवस्थापक सुरक्षा भूमिका होनी चाहिए. इसके अतिरिक्त, जिन तालिकाओं को आप Azure Synapse लिंक के माध्यम से निर्यात करना चाहते हैं, उनमें परिवर्तन ट्रैक करें गुण सक्षम होना चाहिए। अधिक जानकारी: उन्नत विकल्प

Azure Data Lake Storage Gen2: आपके पास एक Azure Data Lake Storage Gen2 खाता और स्वामी और स्टोरेज ब्लॉब डेटा योगदानकर्ता भूमिका पहुँच होनी चाहिए। आपके संग्रहण खाते को आरंभिक सेटअप और डेल्टा सिंक दोनों के लिए पदानुक्रमित नामस्थान सक्षम करना होगा. संग्रहण खाता कुंजी पहुँच की अनुमति दें केवल आरंभिक सेटअप के लिए आवश्यक है.

Synapse कार्यक्षेत्र: आपके पास Synapse कार्यक्षेत्र और Synapse स्टूडियो के भीतर Synapse व्यवस्थापक भूमिका पहुँच होनी चाहिए। Synapse वर्कस्पेस आपके Azure Data Lake Storage Gen2 खाते के समान क्षेत्र में ही होना चाहिए. स्टोरेज खाता को Synapse Studio के भीतर एक लिंक की गई सेवा के रूप में जोड़ा जाना चाहिए. Synapse कार्यक्षेत्र बनाने के लिए, Synapse कार्यक्षेत्र बनाना पर जाएँ।

जब आप लिंक बनाते हैं, तो Azure Synapse लिंक फॉर Dataverse पर्यावरण के अंतर्गत वर्तमान में लिंक की गई एंटरप्राइज़ नीति के बारे में विवरण प्राप्त करता है और फिर Azure से कनेक्ट करने के लिए पहचान क्लाइंट गुप्त URL को कैश करता है। Dataverse

1. लॉग इन करें Power Apps और अपना वातावरण चुनें।
2. बाएँ नेविगेशन फलक पर, Azure Synapse लिंक चुनें, और फिर + नया लिंक चुनें. यदि आइटम साइड पैनल पैन में नहीं है, तो …अधिक चुनें और फिर इच्छित आइटम का चयन करें।
3. इच्छित सेटअप के अनुसार उपयुक्त फ़ील्ड भरें। सदस्यता, संसाधन समूह, और भंडारण खाता चुनें। Synapse कार्यक्षेत्र से कनेक्ट करने के लिए, अपने कार्यक्षेत्र से कनेक्ट करें विकल्प का चयन करें। Dataverse Azure Synapse डेल्टा लेक डेटा रूपांतरण के लिए स्पार्क पूल का चयन करें।
4. प्रबंधित सेवा पहचान के साथ एंटरप्राइज़ नीति का चयन करें का चयन करें, और फिर अगला का चयन करें.
5. वे तालिकाएँ जोड़ें जिन्हें आप निर्यात करना चाहते हैं, और फिर सहेजें चुनें.

किसी मौजूदा Azure Synapse लिंक प्रोफ़ाइल के लिए प्रबंधित पहचान सक्षम करें

नोट

प्रबंधित पहचान का उपयोग करें कमांड को Power Apps में उपलब्ध कराने के लिए, आपको एंटरप्राइज़ नीति को अपने Dataverse पर्यावरण से कनेक्ट करने के लिए उपरोक्त सेटअप को पूरा करना होगा। अधिक जानकारी: एंटरप्राइज़ नीति को Dataverse पर्यावरण से कनेक्ट करें

1. Power Apps (make.powerapps.com) से किसी मौजूदा Synapse Link प्रोफ़ाइल पर जाएँ।
2. प्रबंधित पहचान का उपयोग करें का चयन करें, और फिर पुष्टि करें.

समस्‍या निवारण

यदि आपको लिंक निर्माण के दौरान 403 त्रुटियाँ प्राप्त होती हैं:

• प्रबंधित पहचानों को आरंभिक सिंक के दौरान क्षणिक अनुमति प्रदान करने में अतिरिक्त समय लगता है। इसे कुछ समय दें और बाद में फिर से ऑपरेशन आज़माएँ।
• सुनिश्चित करें कि लिंक किए गए संग्रहण में समान परिवेश से मौजूदा Dataverse container(dataverse-environmentName-organizationUniqueName) नहीं है.
• आप Azure policyArmId सदस्यता ID ./GetIdentityEnterprisePolicyforEnvironment.ps1 और संसाधन समूह नाम के साथ PowerShell स्क्रिप्ट चलाकर लिंक की गई एंटरप्राइज़ नीति और की पहचान कर सकते हैं.
• आप PowerShell स्क्रिप्ट को ./RevertIdentity.ps1 पर्यावरण आईडी और Dataverse के साथ चलाकर एंटरप्राइज़ नीति को अनलिंक कर सकते हैं। policyArmId
• आप PowerShell स्क्रिप्ट .\RemoveIdentityEnterprisePolicy.ps1 को policyArmId के साथ चलाकर एंटरप्राइज़ नीति को हटा सकते हैं.

ज्ञात सीमा

केवल एक एंटरप्राइज़ नीति ही एक साथ Dataverse पर्यावरण से जुड़ सकती है। यदि आपको प्रबंधित पहचान सक्षम के साथ एकाधिक Azure Synapse Link लिंक बनाने की आवश्यकता है, तो सुनिश्चित करें कि सभी लिंक किए गए Azure संसाधन समान संसाधन समूह के अंतर्गत हों.

भी देखें

Azure Synapse लिंक किस लिए है Dataverse?