Kongsi melalui

Gunakan identiti terurus untuk Azure dengan storan tasik data Azure anda

  • Artikel

Azure Data Lake Storage menyediakan model keselamatan berlapis. Model ini membolehkan anda melindungi dan mengawal tahap akses ke akaun storan anda yang diminta oleh aplikasi dan persekitaran perusahaan anda, berdasarkan jenis dan subset rangkaian atau sumber yang digunakan. Apabila peraturan rangkaian dikonfigurasikan, hanya aplikasi yang meminta data melalui set rangkaian yang ditentukan atau melalui set sumber Azure yang ditentukan boleh mengakses akaun storan. Anda boleh mengehadkan akses kepada akaun storan anda kepada permintaan yang berasal daripada alamat IP tertentu, julat IP, subnet dalam Rangkaian Maya Azure (VNet) atau tika sumber sesetengah perkhidmatan Azure.

Identiti terurus untuk Azure, yang dahulunya dikenali sebagai Identiti Perkhidmatan Terurus (MSI), membantu pengurusan rahsia. Microsoft Dataverse pelanggan yang menggunakan keupayaan Azure mencipta identiti terurus (sebahagian daripada penciptaan dasar perusahaan) yang boleh digunakan untuk satu atau lebih Dataverse persekitaran. Identiti terurus ini yang akan diperuntukkan dalam penyewa anda kemudiannya digunakan oleh Dataverse untuk mengakses tasik data Azure anda.

Dengan identiti terurus, akses kepada akaun storan anda terhad kepada permintaan yang berasal dari persekitaran yang Dataverse berkaitan dengan penyewa anda. Apabila Dataverse bersambung ke storan bagi pihak anda, ia termasuk maklumat konteks tambahan untuk membuktikan bahawa permintaan itu berasal daripada persekitaran yang selamat dan dipercayai. Ini membolehkan storan memberikan Dataverse akses kepada akaun storan anda. Identiti terurus digunakan untuk menandatangani maklumat konteks untuk mewujudkan kepercayaan. Ini menambah keselamatan tahap aplikasi sebagai tambahan kepada keselamatan rangkaian dan infrastruktur yang disediakan oleh Azure untuk sambungan antara perkhidmatan Azure.

Sebelum anda mula

  • Azure CLI diperlukan pada mesin tempatan anda. Muat turun dan pasang
  • Anda memerlukan kedua-dua modul PowerShell ini. Jika anda tidak memilikinya, buka PowerShell dan jalankan perintah ini:
    • Modul Azure Az PowerShell: Install-Module -Name Az
    • Azure Az.Resources PowerShell module: Install-Module -Name Az.Resources
    • Power Platform admin Modul PowerShell: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Pergi ke fail folder termampat ini di GitHub. Kemudian pilih Muat turun untuk memuat turunnya. Ekstrak fail folder termampat ke komputer di lokasi yang anda boleh menjalankan perintah PowerShell. Semua fail dan folder yang diekstrak daripada folder termampat hendaklah disimpan di lokasi asalnya.
  • Kami mengesyorkan anda mencipta bekas storan baharu di bawah kumpulan sumber Azure yang sama untuk menggunakan ciri ini.

Mendayakan dasar perusahaan untuk langganan Azure terpilih

Penting

Anda mesti mempunyai capaian peranan Azure subscription Owner untuk menyelesaikan tugas ini. Dapatkan ID Azure Subscription anda daripada halaman gambaran keseluruhan untuk kumpulan sumber Azure.

  1. Buka Azure CLI dengan run sebagai pentadbir dan log masuk ke langganan Azure anda menggunakan perintah: az login Maklumat lanjut: log masuk dengan Azure CLI
  2. (Pilihan) jika anda mempunyai berbilang langganan Azure, pastikan anda berjalan Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } untuk mengemas kini langganan lalai anda.
  3. Kembangkan folder termampat yang anda muat turun sebagai sebahagian daripada Sebelum anda mula untuk ciri ini ke lokasi yang anda boleh menjalankan PowerShell.
  4. Untuk mendayakan dasar perusahaan untuk langganan Azure terpilih, jalankan skrip PowerShell./SetupSubscriptionForPowerPlatform.ps1.
    • Sediakan ID langganan Azure.

Buat dasar perusahaan

Penting

Anda mesti mempunyai capaian peranan Azure kumpulan sumber Pemilik untuk menyelesaikan tugas ini. Dapatkan ID Langganan Azure, Lokasi dan nama kumpulan Sumber anda, daripada halaman gambaran keseluruhan untuk kumpulan sumber Azure.

  1. Buat dasar perusahaan. Menjalankan skrip PowerShell ./CreateIdentityEnterprisePolicy.ps1

    • Sediakan ID langganan Azure.
    • Berikan nama kumpulan sumber Azure.
    • Berikan nama dasar perusahaan pilihan.
    • Sediakan lokasi kumpulan sumber Azure.

  2. Simpan salinan ResourceId selepas penciptaan dasar.

Nota

Berikut ialah input lokasi sah yang disokong untuk penciptaan dasar. Pilih lokasi yang paling sesuai untuk anda.

Lokasi tersedia untuk dasar perusahaan

EUAP Amerika Syarikat

Amerika Syarikat

Afrika Selatan

UK

Australia

Korea Selatan

Jepun

India

Perancis

Eropah

Asia

Norway

Jerman

Switzerland

Kanada

Brazil

UAE

Singapura

Memberikan capaian pembaca kepada dasar perusahaan melalui Azure

Pentadbir global Azure, pentadbir dan Power Platform pentadbir Dynamics 365 boleh mencapai Power Platform pusat pentadbiran untuk memperuntukkan persekitaran kepada dasar perusahaan. Untuk mengakses dasar perusahaan, pentadbir peti besi global atau Azure Key diperlukan untuk memberikan peranan Pembaca kepada Dynamics 365 atau Power Platform pentadbir. Sebaik sahaja peranan pembaca diberikan, Dynamics 365 atau Power Platform pentadbir akan melihat dasar perusahaan pada Power Platform pusat pentadbiran.

Hanya Dynamics 365 dan Power Platform pentadbir yang diberikan peranan pembaca kepada dasar perusahaan boleh 'menambah persekitaran' kepada dasar tersebut. Pentadbir Dynamics 365 dan PowerPlatform lain mungkin dapat melihat dasar perusahaan tetapi mereka akan mendapat ralat apabila mereka cuba menambah persekitaran.

Penting

Anda mesti mempunyai - Microsoft.Authorization/roleAssignments/write keizinan, seperti Pentadbir Akses Pengguna atau Pemilik untuk menyelesaikan tugas ini.

  1. Log masuk ke portal Azure.
  2. Dapatkan ObjectID Power Platform pengguna pentadbir Dynamics 365.
    1. Pergi ke kawasan Pengguna .
    2. Buka Dynamics 365 atau Power Platform pengguna pentadbir.
    3. Di bawah halaman gambaran keseluruhan untuk pengguna, salin ObjectID.
  3. Dapatkan ID dasar perusahaan:
    1. Pergi ke Azure Resource Graph Explorer.
    2. Menjalankan pertanyaan ini: resources | where type == 'microsoft.powerplatform/enterprisepolicies' Menjalankan pertanyaan daripada Azure Resource Graph Explorer
    3. Skrol ke kanan halaman hasil carian dan pilih pautan Lihat butiran .
    4. Pada halaman Butiran, salin ID.
  4. Buka Azure CLI dan jalankan perintah berikut, menggantikan dengan <objId> ObjectID pengguna dan <EP Resource Id> dengan ID dasar perusahaan.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Sambungkan dasar perusahaan ke Dataverse persekitaran

Penting

Anda mesti mempunyai Power Platform peranan pentadbir atau pentadbir Dynamics 365 untuk menyelesaikan tugas ini. Anda mesti mempunyai peranan Pembaca untuk dasar perusahaan untuk menyelesaikan tugas ini.

  1. Dapatkan Dataverse ID persekitaran.
    1. Daftar masuk ke Power Platform pusat pentadbir.
    2. Pilih Persekitaran kemudian buka persekitaran anda.
    3. Dalam bahagian Butiran, salin ID Persekitaran.
    4. Untuk memaut Dataverse ke persekitaran, jalankan skrip PowerShell ini: ./NewIdentity.ps1
    5. Dataverse Menyediakan ID persekitaran.
    6. Sediakan ResourceId.
      StatusCode = 202 menunjukkan pautan berjaya dibuat.
  2. Daftar masuk ke Power Platform pusat pentadbir.
  3. Pilih Persekitaran, kemudian buka persekitaran yang anda tentukan sebelum ini.
  4. Dalam kawasan Operasi terkini, pilih Sejarah penuh untuk mengesahkan sambungan identiti baharu.

Mengkonfigurasikan capaian rangkaian kepada Azure Data Lake Storage Gen2

Penting

Anda mesti mempunyai Azure Data Lake Storage peranan Pemilik Gen2 untuk menyelesaikan tugas ini.

  1. Pergi ke portal Azure.

  2. Buka akaun storan yang disambungkan ke profil anda Azure Synapse Link for Dataverse .

  3. Pada anak tetingkap navigasi kiri, pilih Perangkaian. Kemudian, pada tab Firewall dan rangkaian maya pilih tetapan berikut:

    1. Didayakan daripada rangkaian maya dan alamat IP terpilih.
    2. Di bawah Contoh sumber, pilih Benarkan perkhidmatan Azure pada senarai perkhidmatan dipercayai untuk mengakses akaun storan ini

  4. Pilih Simpan.

Mengkonfigurasikan Azure Synapse capaian rangkaian ke Ruang Kerja

Penting

Anda mesti mempunyai peranan pentadbir Azure Synapse untuk menyelesaikan tugas ini.

  1. Pergi ke portal Azure.
  2. Buka ruang kerja yang Azure Synapse disambungkan ke profil anda Azure Synapse Link for Dataverse .
  3. Pada anak tetingkap navigasi kiri, pilih Perangkaian.
  4. Pilih Benarkan perkhidmatan dan sumber Azure untuk mengakses ruang kerja ini.
  5. Jika terdapat peraturan tembok api IP yang dicipta untuk semua julat IP, padamkannya untuk menyekat akses rangkaian awam. Azure Synapse seting rangkaian ruang kerja
  6. Tambah peraturan tembok api IP baharu berdasarkan alamat IP klien.
  7. Pilih Simpan apabila selesai. Maklumat lanjut: Azure Synapse Analytics Peraturan tembok api IP

Penting

Dataverse: Anda mesti mempunyai pentadbir Dataverse ยท sistem peranan keselamatan. Selain itu, jadual yang anda ingin eksport mesti Azure Synapse Link mendayakan sifat Jejak perubahan . Maklumat lanjut: Opsyen lanjutan

Azure Data Lake Storage Gen2: Anda mesti mempunyai akaun Azure Data Lake Storage Gen2 dan akses peranan Pemilik dan Penyumbang Data Blob Storan. Akaun storan anda mesti mendayakan ruang nama hierarki untuk persediaan awal dan penyegerakan delta. Benarkan akses kunci akaun storan diperlukan hanya untuk persediaan awal.

Ruang kerja Synapse: Anda mesti mempunyai ruang kerja Synapse dan akses peranan Pentadbir Synapse dalam Studio Synapse. Ruang kerja Synapse mesti berada dalam kawasan yang sama dengan akaun Azure Data Lake Storage Gen2 anda. Akaun storan mesti ditambah sebagai perkhidmatan terpaut dalam Studio Synapse. Untuk mencipta ruang kerja Synapse, pergi ke Mencipta ruang kerja Synapse.

Apabila anda mencipta pautan, Azure Synapse Link for Dataverse mendapat butiran tentang dasar perusahaan yang dipautkan pada masa ini di bawah Dataverse persekitaran kemudian cache URL rahsia klien identiti untuk menyambung ke Azure.

  1. Log masuk Power Apps dan pilih persekitaran anda.
  2. Pada anak tetingkap navigasi kiri, pilih Azure Synapse Link kemudian pilih + Pautan baru. Jika item tidak ditemukan dalam anak tetingkap panel sisi, pilih ...Lagi, kemudian pilih item yang anda kehendaki.
  3. Pilih Dasar Perusahaan dengan Identiti Perkhidmatan Terurus, kemudian pilih Berikut.
  4. Tambahkan jadual yang anda mahu eksport dan kemudian pilih Simpan.

Nota

Untuk menjadikan perintah Gunakan identiti terurus tersedia Power Apps, anda perlu menyelesaikan persediaan di atas untuk menyambungkan dasar perusahaan ke persekitaran anda Dataverse . Maklumat lanjut: Sambungkan dasar perusahaan ke Dataverse persekitaran

  1. Pergi ke profil Synapse Link sedia ada daripada Power Apps (make.powerapps.com).
  2. Pilih Gunakan identiti terurus, kemudian sahkan. Perintah Gunakan identiti terurus dalam Power Apps

Pencarisilapan

Jika anda menerima ralat 403 semasa penciptaan pautan:

  • Identiti terurus mengambil masa tambahan untuk memberikan kebenaran sementara semasa penyegerakan awal. Beri sedikit masa dan cuba operasi sekali lagi kemudian.
  • Pastikan storan terpaut tidak mempunyai bekas sedia ada Dataverse (dataverse-environmentName-organizationUniqueName) daripada persekitaran yang sama.
  • Anda boleh mengenal pasti dasar perusahaan terpaut dan policyArmId dengan menjalankan skrip ./GetIdentityEnterprisePolicyforEnvironment.ps1 PowerShell dengan Azure Subscription ID dan Nama kumpulan Sumber.
  • Anda boleh menyahpautkan dasar perusahaan dengan menjalankan skrip ./RevertIdentity.ps1 PowerShell dengan Dataverse ID persekitaran dan policyArmId.
  • Anda boleh mengalih keluar dasar perusahaan dengan menjalankan skrip PowerShell.\RemoveIdentityEnterprisePolicy.ps1 dengan policyArmId.

Had diketahui

Hanya satu dasar perusahaan yang boleh menyambung ke alam sekitar secara Dataverse serentak. Jika anda perlu mencipta berbilang Azure Synapse Link pautan dengan identiti terurus didayakan, pastikan semua sumber Azure terpaut berada di bawah kumpulan sumber yang sama.

Lihat juga

Apakah itu Azure Synapse Link for Dataverse?