Gunakan identitas terkelola untuk Azure dengan penyimpanan data lake Azure Anda

Azure Data Lake Storage menyediakan model keamanan berlapis. Model ini memungkinkan Anda mengamankan dan mengontrol tingkat akses ke akun penyimpanan yang diminta aplikasi dan lingkungan perusahaan Anda, berdasarkan jenis dan subset jaringan atau sumber daya yang digunakan. Saat aturan jaringan dikonfigurasi, hanya aplikasi yang meminta data melalui kumpulan jaringan yang ditentukan atau melalui kumpulan sumber daya Azure yang ditentukan yang dapat mengakses akun penyimpanan. Anda dapat membatasi akses ke akun penyimpanan Anda ke permintaan yang berasal dari alamat IP tertentu, rentang IP, subnet di Jaringan Virtual (VNet) Azure, atau instans sumber daya dari beberapa layanan Azure.

Identitas terkelola untuk Azure, sebelumnya dikenal sebagai Identitas Layanan Terkelola (MSI), membantu pengelolaan rahasia. Microsoft Dataverse Pelanggan yang menggunakan kemampuan Azure membuat identitas terkelola (bagian dari pembuatan kebijakan perusahaan) yang dapat digunakan untuk satu atau beberapa Dataverse lingkungan. Identitas terkelola yang akan disediakan di penyewa Anda ini kemudian digunakan untuk Dataverse mengakses data lake Azure Anda.

Dengan identitas terkelola, akses ke akun penyimpanan Anda dibatasi untuk permintaan yang berasal dari Dataverse lingkungan yang terkait dengan penyewa Anda. Saat Dataverse terhubung ke penyimpanan atas nama Anda, ini menyertakan informasi konteks tambahan untuk membuktikan bahwa permintaan berasal dari lingkungan yang aman dan tepercaya. Hal ini memungkinkan penyimpanan untuk memberikan Dataverse akses ke akun penyimpanan Anda. Identitas terkelola digunakan untuk menandatangani informasi konteks untuk membangun kepercayaan. Ini menambahkan keamanan tingkat aplikasi selain keamanan jaringan dan infrastruktur yang disediakan oleh Azure untuk koneksi antara layanan Azure.

Sebelum Anda memulai

• Azure CLI diperlukan di mesin lokal Anda. Unduh dan instal
• Anda membutuhkan dua modul PowerShell ini. Jika Anda tidak memilikinya, buka PowerShell dan jalankan perintah berikut:
  • Azure Az PowerShell modul: Install-Module -Name Az
  • Azure Az.Resources PowerShell modul: Install-Module -Name Az.Resources
  • Power Platform admin PowerShell modul: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
• Buka file folder terkompresi ini di GitHub. Kemudian pilih Unduh untuk mengunduhnya. Ekstrak file folder terkompresi ke komputer di lokasi di mana Anda dapat menjalankan perintah PowerShell. Semua file dan folder yang diekstrak dari folder terkompresi harus disimpan di lokasi aslinya.
• Kami menyarankan Anda membuat kontainer penyimpanan baru di bawah grup sumber daya Azure yang sama untuk mengaktifkan fitur ini.

Aktifkan kebijakan perusahaan untuk langganan Azure yang dipilih

Penting

Anda harus memiliki akses peran Pemilik langganan Azure untuk menyelesaikan tugas ini. Dapatkan ID Langganan Azure Anda dari halaman gambaran umum untuk grup sumber daya Azure.

1. Buka Azure CLI dengan jalankan sebagai administrator dan masuk ke langganan Azure Anda menggunakan perintah: az login Informasi lebih lanjut: masuk dengan Azure CLI
2. (Opsional) jika Anda memiliki beberapa langganan Azure, pastikan untuk menjalankan Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } untuk memperbarui langganan default Anda.
3. Perluas folder terkompresi yang Anda unduh sebagai bagian dari Sebelum Anda memulai fitur ini ke lokasi di mana Anda dapat menjalankan PowerShell.
4. Untuk mengaktifkan kebijakan perusahaan untuk langganan Azure yang dipilih, jalankan skrip PowerShell./SetupSubscriptionForPowerPlatform.ps1.
   • Berikan ID langganan Azure.

Membuat kebijakan perusahaan

Penting

Anda harus memiliki akses peran Pemilik grup sumber daya Azure untuk menyelesaikan tugas ini. Dapatkan ID Langganan Azure , Lokasi , dannama grup Sumber daya Anda, dari halaman gambaran umum untuk grup sumber daya # Azure.

1. Buat kebijakan perusahaan. Jalankan skrip PowerShell ./CreateIdentityEnterprisePolicy.ps1

   • Berikan ID langganan Azure.
   • Berikan nama grup sumber daya Azure.
   • Berikan nama kebijakan perusahaan yang disukai.
   • Berikan lokasi grup sumber daya Azure.

2. Simpan salinan ResourceId setelah pembuatan kebijakan.

Catatan

Berikut ini adalah input lokasi valid yang didukung untuk pembuatan kebijakan. Pilih lokasi yang paling sesuai untuk Anda.

Lokasi yang tersedia untuk kebijakan perusahaan

Amerika Serikat EUAP

Amerika Serikat

Afrika Selatan

Inggris

Australia

Korea Selatan

Jepang

India

Prancis

Eropa

Asia

Norwegia

Jerman

Swiss

Kanada

Brasil

UAE

Singapura

Berikan Pembaca akses ke kebijakan perusahaan melalui Azure

Dynamics 365 admin, dan Power Platform admin dapat mengakses Power Platform pusat admin untuk menetapkan lingkungan ke kebijakan perusahaan. Untuk mengakses kebijakan perusahaan, keanggotaan admin brankas kunci Azure diperlukan untuk memberikan peran Pembaca kepada Dynamics 365 atau admin. Setelah peran Pembaca diberikan, Dynamics 365 atau admin akan melihat kebijakan perusahaan di pusat admin. Power Platform Power Platform Power Platform

Hanya Dynamics 365 dan Power Platform admin yang diberi peran Pembaca pada kebijakan perusahaan yang dapat 'menambahkan lingkungan' ke kebijakan tersebut. Admin Dynamics 365 dan PowerPlatform lainnya mungkin dapat melihat kebijakan perusahaan, tetapi mereka akan mendapatkan kesalahan saat mencoba menambahkan lingkungan.

Penting

Anda harus memiliki - Microsoft.Authorization/roleAssignments/write izin, seperti Administrator Akses Pengguna atau Pemilik untuk menyelesaikan tugas ini.

1. Masuk ke portal Azure.
2. Dapatkan Dynamics 365 Power Platform ObjectID pengguna admin.
   1. Buka area Pengguna .
   2. Buka pengguna Dynamics 365 atau Power Platform admin.
   3. Di bawah halaman ikhtisar untuk pengguna, salin ObjectID.
3. Dapatkan ID kebijakan perusahaan:
   1. Kunjungi Azure Resource Graph Explorer.
   2. Jalankan kueri ini: resources | where type == 'microsoft.powerplatform/enterprisepolicies'
   3. Gulir ke kanan halaman hasil dan pilih Lihat detail tautkan.
   4. Pada halaman Detail , salin ID.
4. Buka Azure CLI dan jalankan perintah berikut, ganti <objId> dengan ObjectID pengguna dan <EP Resource Id> dengan ID kebijakan perusahaan.
   • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Hubungkan kebijakan perusahaan ke Dataverse lingkungan

Penting

Anda harus memiliki peran Power Platform administrator atau Dynamics 365 administrator untuk menyelesaikan tugas ini. Anda harus memiliki Pembaca peran untuk kebijakan perusahaan untuk menyelesaikan tugas ini.

1. Dapatkan Dataverse ID lingkungan.
   1. Masuk ke Power Platform pusat admin.
   2. Pilih Lingkungan, lalu buka lingkungan Anda.
   3. Di bagian Detail , salin ID Lingkungan.
   4. Untuk tautkan ke Dataverse lingkungan, jalankan skrip PowerShell ini: ./NewIdentity.ps1
   5. Berikan Dataverse ID lingkungan.
   6. Berikan ResourceId.
      StatusCode = 202 menunjukkan tautkan berhasil dibuat.
2. Masuk ke Power Platform pusat admin.
3. Pilih Lingkungan, lalu buka lingkungan yang Anda tentukan sebelumnya.
4. Di area Operasi terkini , pilih Riwayat lengkap untuk memvalidasi koneksi identitas baru.

Konfigurasikan akses jaringan ke Azure Data Lake Storage Gen2

Penting

Anda harus memiliki peran Azure Data Lake Storage Pemilik Gen2 untuk menyelesaikan tugas ini.

1. Buka portal Azure.

2. Buka akun penyimpanan yang terhubung ke profil Anda Azure Synapse Link for Dataverse .

3. Pada panel navigasi kiri, pilih Jaringan. Kemudian, pada tab Firewall dan jaringan virtual, pilih pengaturan berikut:

   1. Diaktifkan dari jaringan virtual dan alamat IP yang dipilih.
   2. Di bawah Instans sumber daya, pilih Izinkan layanan Azure pada daftar layanan tepercaya untuk mengakses akun penyimpanan ini

4. Pilih Simpan.

Mengonfigurasi akses jaringan ke Azure Synapse Ruang Kerja

Penting

Anda harus memiliki peran administrator Synapse Azure untuk menyelesaikan tugas ini.

1. Buka portal Azure.
2. Buka ruang kerja yang Azure Synapse terhubung ke profil Anda Azure Synapse Link for Dataverse .
3. Pada panel navigasi kiri, pilih Jaringan.
4. Pilih Izinkan layanan dan sumber daya Azure untuk mengakses ruang kerja ini.
5. Jika ada aturan firewall IP yang dibuat untuk semua rentang IP, hapus untuk membatasi akses jaringan publik.
6. Tambahkan aturan firewall IP baru berdasarkan alamat IP klien.
7. Pilih Simpan setelah selesai. Informasi lebih lanjut: Azure Synapse Analytics Aturan firewall IP

Membuat yang baru Azure Synapse Link for Dataverse dengan identitas terkelola

Penting

Dataverse: Anda harus memiliki peran keamanan administrator Dataverse sistem. Selain itu, tabel yang ingin Anda ekspor harus Azure Synapse Link mengaktifkan properti Lacak perubahan . Informasi lebih lanjut: Opsi lanjutan

Azure Data Lake Storage Gen2: Anda harus memiliki Azure Data Lake Storage akun Gen2 dan akses peran Kontributor Data Blob Pemilik dan Penyimpanan. Akun penyimpanan Anda harus mengaktifkan namespace hierarki untuk penyiapan awal dan sinkronisasi delta. Izinkan akses kunci akun penyimpanan hanya diperlukan untuk penyiapan awal.

Ruang kerja Synapse: Anda harus memiliki ruang kerja Synapse dan akses peran Administrator Synapse dalam Synapse Studio. Ruang kerja Synapse harus berada di kawasan yang sama dengan akun Azure Data Lake Storage Gen2 Anda. Akun penyimpanan harus ditambahkan sebagai layanan tertaut di Dalam Synapse Studio. Untuk membuat ruang kerja Synapse, buka Membuat ruang kerja Synapse.

Saat Anda membuat tautkan, mendapatkan Azure Synapse Link for Dataverse detail tentang kebijakan perusahaan yang saat ini ditautkan di bawah Dataverse lingkungan kemudian menyimpan URL rahasia klien identitas untuk terhubung ke Azure.

1. Masuk dan Power Apps pilih lingkungan Anda.
2. Di panel navigasi kiri, pilih Azure Synapse Link, lalu pilih + tautkan baru. Jika item tidak ada di panel panel samping, pilih ... Lainnya lalu pilih item yang Anda inginkan.
3. Isi kolom yang sesuai, sesuai dengan pengaturan yang dimaksudkan. Pilih akun Langganan, Grup sumber daya, dan Penyimpanan. Untuk menghubungkan Dataverse ke ruang kerja Synapse, pilih opsi Hubungkan ke Azure Synapse ruang kerja Anda. Untuk konversi data Delta Lake pilih kumpulan Spark.
4. Pilih Pilih Kebijakan Perusahaan dengan Identitas Layanan Terkelola, lalu pilih Berikutnya.
5. Tambahkan tabel yang ingin Anda ekspor, lalu pilih Simpan.

Aktifkan identitas terkelola untuk profil Azure Synapse Link yang sudah ada

Catatan

Untuk membuat perintah Gunakan identitas terkelola tersedia di Power Apps, Anda perlu menyelesaikan pengaturan di atas untuk menghubungkan kebijakan perusahaan ke Dataverse lingkungan Anda. Informasi selengkapnya: Hubungkan kebijakan perusahaan ke Dataverse lingkungan

1. Buka profil Synapse tautkan yang ada dari Power Apps (make.powerapps.com).
2. Pilih Gunakan identitas terkelola, lalu konfirmasikan.

Mengatasi Masalah

Jika Anda menerima kesalahan 403 selama pembuatan tautkan:

• Identitas terkelola memerlukan waktu ekstra untuk memberikan izin sementara selama sinkronisasi awal. Beri waktu dan coba operasi lagi nanti.
• Pastikan penyimpanan tertaut tidak memiliki Dataverse kontainer(dataverse-environmentName-organizationUniqueName) yang ada dari lingkungan yang sama.
• Anda dapat mengidentifikasi kebijakan perusahaan yang tertaut dan policyArmId dengan menjalankan skrip PowerShell ./GetIdentityEnterprisePolicyforEnvironment.ps1 dengan Azure ID Langganan dan nama Grup sumber daya.
• Anda dapat memutuskan tautan kebijakan perusahaan dengan menjalankan skrip PowerShell ./RevertIdentity.ps1 dengan Dataverse ID lingkungan dan policyArmId.
• Anda dapat menghapus kebijakan perusahaan dengan menjalankan skrip PowerShell .\RemoveIdentityEnterprisePolicy.ps1 dengan policyArmId.

Batasan yang diketahui

Hanya satu kebijakan perusahaan yang dapat terhubung ke Dataverse lingkungan secara bersamaan. Jika Anda perlu membuat beberapa Azure Synapse Link tautan dengan identitas terkelola diaktifkan, pastikan semua sumber daya Azure yang tertaut berada di bawah grup sumber daya yang sama.

Baca juga

Apa itu Azure Synapse Link for Dataverse?