Share via

Utilizar identidades geridas para Azure com o Azure Data Lake Storage

  • Artigo

O Azure Data Lake Storage fornece um modelo de segurança em camadas. Este modelo permite-lhe proteger e controlar o nível de acesso às contas de armazenamento que as suas aplicações e ambientes empresariais exigem, com base no tipo e subconjunto de redes ou recursos utilizados. Quando as regras de rede são configuradas, apenas as aplicações que estão a pedir dados sobre o conjunto de redes especificado ou através do conjunto especificado de recursos de Azure podem aceder a uma conta de armazenamento. Pode limitar o acesso à sua conta de armazenamento a pedidos provenientes de endereços IP especificados, intervalos de IP, sub-redes numa Rede Virtual de Azure (VNet) ou instâncias de recursos de alguns serviços de Azure.

As identidades geridas para Azure, anteriormente conhecidas como Identidade de Serviço Gerido (MSI), ajudam na gestão de segredos. Os clientes do Microsoft Dataverse que utilizam as capacidades de Azure criam uma identidade gerida (parte da criação de políticas empresariais) que pode ser utilizada para um ou mais ambientes Dataverse. Esta identidade gerida que será a aprovisionada no inquilino é então utilizada pelo Dataverse para aceder ao seu Azure Data Lake.

Com identidades geradas, o acesso à sua conta de armazenamento está restrito a pedidos provenientes do ambiente Dataverse associado ao inquilino. Quando o Dataverse se liga ao armazenamento em seu nome, inclui informações de contexto adicionais para demonstrar que o pedido tem origem num ambiente seguro e fiável. Isto permite que o armazenamento conceda acesso do Dataverse à sua conta de armazenamento. As identidades geridas são utilizadas para assinar as informações de contexto para estabelecer confiança. Isto adiciona segurança ao nível da aplicação, além da segurança de rede e da infraestrutura fornecida pelo Azure para ligações entre os serviços de Azure.

Antes de começar

  • É obrigatório que a CLI do Azure esteja na sua máquina local. Transferir e instalar
  • Necessita destes dois módulos do PowerShell. Se não os tiver, abra o PowerShell e execute estes comandos:
    • Módulo do PowerShell Azure Az: Install-Module -Name Az
    • Módulo PowerShell Azure Az.Resources: Install-Module -Name Az.Resources
    • Módulo do PowerShell de administrador do Power Platform: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Aceda a este ficheiro de pastas comprimidas no GitHub. De seguida, selecione Transferir para o transferir. Extraia o ficheiro de pastas comprimidas para um computador numa localização onde pode executar os comandos do PowerShell. Todos os ficheiros e pastas extraídos de uma pasta comprimida devem ser preservados na sua localização original.
  • Recomendamos que crie um novo contentor de armazenamento no mesmo grupo de recursos de Azure para integrar esta caraterística.

Ativar a política empresarial para a subscrição do Azure selecionada

Importante

Tem de ter acesso à função Proprietário da subscrição do Azure para concluir esta tarefa. Obtenha o seu ID de Subscrição do Azure a partir da página descrição geral do grupo de recursos do Azure.

  1. Abra o CLI do Azure com executar como administrador e inicie sessão na sua subscrição de Azure utilizando o comando: az login Mais informações: Iniciar sessão com o CLI do Azure
  2. (Opcional) se tiver várias subscrição de Azure, certifique-se de que vai executar o Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } para atualizar a sua subscrição predefinida.
  3. Expanda a pasta comprimido que transferiu como parte de Antes de começar para esta funcionalidade para uma localização onde poderá executar o PowerShell.
  4. Para ativar a política empresarial para a subscrição de Azure selecionada, execute o script do PowerShell ./SetupSubscriptionForShellPlatform.ps1.
    • Forneça o ID de subscrição de Azure.

Criar uma política empresarial

Importante

Tem de ter acesso à função Proprietário do grupo de recursos do Azure para concluir esta tarefa. Obtenha o seu ID de Subscrição, Localização e nome do Grupo de recursos de Azure da página descrição geral do grupo de recursos de Azure.

  1. Crie a política empresarial. Executar script do PowerShell ./CreateIdentityEnterprisePolicy.ps1

    • Forneça o ID de subscrição de Azure.
    • Forneça o nome do grupo de recursos de Azure.
    • Forneça o nome da política empresarial preferencial.
    • Forneça a localização do grupo de recursos de Azure.

  2. Guarde a cópia do ResourceId após a criação da política.

Nota

De seguida, apresentam-se as entradas de localização válidas suportadas para a criação de políticas. Selecione a localização mais apropriada para si.

Localizações disponíveis para a política empresarial

Estados Unidos da América EUAP

Estados Unidos da América

África do Sul

Reino Unido

Austrália

Coreia do Sul

Japão

Índia

França

Europa

Ásia

Noruega

Alemanha

Suíça

Canadá

Brasil

UAE

Singapura

Conceder acesso de leitura à política empresarial através de Azure

Os administradores globais de Azure, os administradores do Dynamics 365 e os administradores do Power Platform podem aceder ao centro de administração do Power Platform para atribuir ambientes à política empresarial. Para aceder às políticas empresariais, o administrador global ou o administrador do Azure Key Vault é obrigado a conceder a Função de leitor ao administrador do Dynamics 365 ou do Power Platform. Assim que a função de leitor for atribuída, os administradores do Dynamics 365 ou do Power Platform irão ver as políticas empresariais no centro de administração do Power Platform.

Apenas os administradores do Dynamics 365 e do Power Platform a quem foi concedida a função de leitor à política empresarial podem "adicionar um ambiente" à política. Outros administradores do Dynamics 365 ou do Power Platform podem conseguir ver a política empresarial, mas irá surgir um erro quando tentarem adicionar um ambiente.

Importante

Tem de ter permissões Microsoft.Authorization/roleAssignments/write, tais como Administrador de Acesso de Utilizador ou Proprietário para concluir esta tarefa.

  1. Inicie sessão no portal do Azure.
  2. Obtenha o ObjectID do utilizador administrador do Power Platform do Dynamics 365.
    1. Aceda à área Utilizadores.
    2. Abre o utilizador administrador do Dynamics 365 ou do Power Platform.
    3. Na página de descrição geral do utilizador, copie o ObjectID.
  3. Obtenha o ID de políticas empresariais:
    1. Aceda ao Explorador de Gráficos de Recursos de Azure.
    2. Execute esta consulta: resources | where type == 'microsoft.powerplatform/enterprisepolicies' Executar consulta a partir do Explorador de Gráficos de Recursos de Azure
    3. Desloque para a direita na página de resultados e selecione a ligação Ver detalhes.
    4. Na página Detalhes, copie o ID.
  4. Abra o CLI do Azure e execute o seguinte comando, substituindo o <objId> pelo ObjectID do utilizador e o <EP Resource Id> pelo ID de política empresarial.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Ligar política empresarial ao ambiente Dataverse

Importante

Tem de ter a função Administrador do Power Platform ou Administrador do Dynamics 365 para concluir esta tarefa. Tem de ter a função Leitor para a política empresarial para concluir esta tarefa.

  1. Obtenha o ID do ambiente Dataverse.
    1. Inicie sessão no Centro de administração do Power Platform.
    2. Selecione Ambientes e, em seguida, abra o seu ambiente.
    3. Na secção Detalhes, copie o ID do Ambiente.
    4. Para associar ao ambiente do Dataverse, execute este script do PowerShell: ./NewIdentity.ps1
    5. Forneça o ID do ambiente Dataverse.
    6. Forneça o ResourceId.
      StatusCode = 202 indica que a ligação foi criada com êxito.
  2. Inicie sessão no Centro de administração do Power Platform.
  3. Selecione Ambientes e, em seguida, abra o ambiente que especificou anteriormente.
  4. Na área Operações recentes , selecione Histórico completo para validar a ligação da nova identidade.

Configurar o acesso à rede para o Azure Data Lake Storage Gen2

Importante

Tem de ter a função Proprietário do Azure Data Lake Storage Gen2 para concluir esta tarefa.

  1. Aceda ao portal do Azure.

  2. Abra a conta de armazenamento ligada ao seu perfil do Azure Synapse Link for Dataverse.

  3. No painel de navegação esquerdo, selecione Rede. De seguida, no separador Firewalls e redes virtuais selecione as seguintes definições:

    1. Ativado a partir de redes virtuais e endereços IP selecionados.
    2. Em Instâncias do recurso, selecione Permitir que os serviços de Azure na lista de serviços fidedignos acedam a esta conta de armazenamento

  4. Selecione Guardar.

Configurar o acesso à rede ao Azure Synapse Workspace

Importante

Tem de ter uma função Administrador do Synapse do Azure para concluir esta tarefa.

  1. Aceda ao portal do Azure.
  2. Abra o Azure Synapse Workspace ligado ao seu perfil do Azure Synapse Link for Dataverse.
  3. No painel de navegação esquerdo, selecione Rede.
  4. Selecione Permitir que os serviços e recursos do Azure acedam a esta área de trabalho.
  5. Se existirem Regras de firewall de IP criadas para todos os intervalos de IP, elimine-as para restringir o acesso à rede pública. Definições de rede do Azure Synapse Workspace
  6. Adicione uma nova Regra de firewall de IP baseada no endereço IP do cliente.
  7. Selecione Guardar quando terminar. Mais informações: Regras de firewall de IP do Azure Synapse Analytics

Importante

Dataverse: Tem de ter o direito de acesso administrador de sistema do Dataverse. Além disso, as tabelas que pretende exportar através do Azure Synapse Link devem ter a propriedade Controlar alterações ativada. Mais informações: Opções avançadas

Azure Data Lake Storage Gen2: é necessário ter uma conta do Azure Data Lake Storage Gen2 e o direito de acesso Proprietário e Contribuidor de Dados do Blob de Armazenamento. A sua conta de armazenamento tem de permitir o Espaço de nomes hierárquico para a configuração inicial e para a sincronização delta. Permitir o acesso-chave à conta de armazenamento só é obrigatório para a configuração inicial.

Área de trabalho do Synapse: é necessário ter uma área de trabalho do Synapse e o direito de acesso Administrador do Synapse no Synapse Studio. A área de trabalho do Synapse tem de estar na mesma região que a sua conta do Azure Data Lake Storage Gen2. A conta de armazenamento deve ser adicionada como um serviço ligado dentro do Synapse Studio. Para criar uma área de trabalho do Synapse, aceda a Criar uma área de trabalho do Synapse.

Quando cria a ligação, o Azure Synapse Link for Dataverse obtém detalhes sobre a política empresarial atualmente associada no ambiente Dataverse e, em seguida, coloca em cache o URL segredo do cliente de identidade para ligar a Azure.

  1. Inicie sessão no Power Apps e selecione o seu ambiente.
  2. No painel de navegação esquerdo, selecione Azure Synapse Link e, em seguida, selecione + Nova ligação. Se o item não estiver no painel lateral, selecione ...Mais e, em seguida, selecione o item pretendido.
  3. Selecione Selecione Política Empresarial com Identidade de Serviço Gerido e, em seguida, selecione Seguinte.
  4. Adicione as tabelas que pretende exportar e, em seguida, selecione Guardar.

Nota

Para disponibilizar o comando Usar identidade gerida no Power Apps, precisa de concluir a configuração acima para conectar ligar a política empresarial ao seu ambiente do Dataverse. Mais informações: Ligar a política empresarial ao ambiente do Dataverse

  1. Aceda a um perfil existente do Synapse Link a partir do Power Apps (make.powerapps.com).
  2. Selecione Usar identidade gerida e confirme. Usar o comando de identidade gerida no Power Apps

Resolução de Problemas

Se receber 403 erros durante a criação da ligação:

  • As identidades geridas demoram mais tempo para conceder permissão transitória durante a sincronização inicial. Dê-lhe algum tempo e tente novamente a operação mais tarde.
  • Certifique-se de que o armazenamento associado não tem o contentor Dataverse existente (dataverse-environmentName-organizationUniqueName) do mesmo ambiente.
  • Pode identificar a política empresarial associada e policyArmId ao executar o script do PowerShell ./GetIdentityEnterprisePolicyforEnvironment.ps1 com o ID de Subscrição de Azure e o nome do Grupo de recursos.
  • Pode desassociar a política empresarial executando o script do PowerShell ./RevertIdentity.ps1 com o ID de ambiente do Dataverse e policyArmId.
  • Pode remover a política empresarial executando o script do PowerShell .\RemoveIdentityEnterprisePolicy.ps1 com policyArmId.

Limitação conhecida

Apenas uma política empresarial pode ligar-se simultaneamente ao ambiente Dataverse. Se precisar de criar várias ligações Azure Synapse Link com a identidade gerida ativada, certifique-se de que todos os recursos do Azure ligados estão sob o mesmo grupo de recursos.

Consulte também

O que é o Azure Synapse Link for Dataverse?