Utilizar identidades geridas para Azure com o Azure Data Lake Storage
O Azure Data Lake Storage fornece um modelo de segurança em camadas. Este modelo permite-lhe proteger e controlar o nível de acesso às contas de armazenamento que as suas aplicações e ambientes empresariais exigem, com base no tipo e subconjunto de redes ou recursos utilizados. Quando as regras de rede são configuradas, apenas as aplicações que estão a pedir dados sobre o conjunto de redes especificado ou através do conjunto especificado de recursos de Azure podem aceder a uma conta de armazenamento. Pode limitar o acesso à sua conta de armazenamento a pedidos provenientes de endereços IP especificados, intervalos de IP, sub-redes numa Rede Virtual de Azure (VNet) ou instâncias de recursos de alguns serviços de Azure.
As identidades geridas para Azure, anteriormente conhecidas como Identidade de Serviço Gerido (MSI), ajudam na gestão de segredos. Os clientes do Microsoft Dataverse que utilizam as capacidades de Azure criam uma identidade gerida (parte da criação de políticas empresariais) que pode ser utilizada para um ou mais ambientes Dataverse. Esta identidade gerida que será a aprovisionada no inquilino é então utilizada pelo Dataverse para aceder ao seu Azure Data Lake.
Com identidades geradas, o acesso à sua conta de armazenamento está restrito a pedidos provenientes do ambiente Dataverse associado ao inquilino. Quando o Dataverse se liga ao armazenamento em seu nome, inclui informações de contexto adicionais para demonstrar que o pedido tem origem num ambiente seguro e fiável. Isto permite que o armazenamento conceda acesso do Dataverse à sua conta de armazenamento. As identidades geridas são utilizadas para assinar as informações de contexto para estabelecer confiança. Isto adiciona segurança ao nível da aplicação, além da segurança de rede e da infraestrutura fornecida pelo Azure para ligações entre os serviços de Azure.
Antes de começar
- É obrigatório que a CLI do Azure esteja na sua máquina local. Transferir e instalar
- Necessita destes dois módulos do PowerShell. Se não os tiver, abra o PowerShell e execute estes comandos:
- Módulo do PowerShell Azure Az:
Install-Module -Name Az
- Módulo PowerShell Azure Az.Resources:
Install-Module -Name Az.Resources
- Módulo do PowerShell de administrador do Power Platform:
Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
- Módulo do PowerShell Azure Az:
- Aceda a este ficheiro de pastas comprimidas no GitHub. De seguida, selecione Transferir para o transferir. Extraia o ficheiro de pastas comprimidas para um computador numa localização onde pode executar os comandos do PowerShell. Todos os ficheiros e pastas extraídos de uma pasta comprimida devem ser preservados na sua localização original.
- Recomendamos que crie um novo contentor de armazenamento no mesmo grupo de recursos de Azure para integrar esta caraterística.
Ativar a política empresarial para a subscrição do Azure selecionada
Importante
Tem de ter acesso à função Proprietário da subscrição do Azure para concluir esta tarefa. Obtenha o seu ID de Subscrição do Azure a partir da página descrição geral do grupo de recursos do Azure.
- Abra o CLI do Azure com executar como administrador e inicie sessão na sua subscrição de Azure utilizando o comando:
az login
Mais informações: Iniciar sessão com o CLI do Azure - (Opcional) se tiver várias subscrição de Azure, certifique-se de que vai executar o
Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id }
para atualizar a sua subscrição predefinida. - Expanda a pasta comprimido que transferiu como parte de Antes de começar para esta funcionalidade para uma localização onde poderá executar o PowerShell.
- Para ativar a política empresarial para a subscrição de Azure selecionada, execute o script do PowerShell ./SetupSubscriptionForShellPlatform.ps1.
- Forneça o ID de subscrição de Azure.
Criar uma política empresarial
Importante
Tem de ter acesso à função Proprietário do grupo de recursos do Azure para concluir esta tarefa. Obtenha o seu ID de Subscrição, Localização e nome do Grupo de recursos de Azure da página descrição geral do grupo de recursos de Azure.
Crie a política empresarial. Executar script do PowerShell
./CreateIdentityEnterprisePolicy.ps1
- Forneça o ID de subscrição de Azure.
- Forneça o nome do grupo de recursos de Azure.
- Forneça o nome da política empresarial preferencial.
- Forneça a localização do grupo de recursos de Azure.
Guarde a cópia do ResourceId após a criação da política.
Nota
De seguida, apresentam-se as entradas de localização válidas suportadas para a criação de políticas. Selecione a localização mais apropriada para si.
Localizações disponíveis para a política empresarial
Estados Unidos da América EUAP
Estados Unidos da América
África do Sul
Reino Unido
Austrália
Coreia do Sul
Japão
Índia
França
Europa
Ásia
Noruega
Alemanha
Suíça
Canadá
Brasil
UAE
Singapura
Conceder acesso de leitura à política empresarial através de Azure
Os administradores globais de Azure, os administradores do Dynamics 365 e os administradores do Power Platform podem aceder ao centro de administração do Power Platform para atribuir ambientes à política empresarial. Para aceder às políticas empresariais, o administrador global ou o administrador do Azure Key Vault é obrigado a conceder a Função de leitor ao administrador do Dynamics 365 ou do Power Platform. Assim que a função de leitor for atribuída, os administradores do Dynamics 365 ou do Power Platform irão ver as políticas empresariais no centro de administração do Power Platform.
Apenas os administradores do Dynamics 365 e do Power Platform a quem foi concedida a função de leitor à política empresarial podem "adicionar um ambiente" à política. Outros administradores do Dynamics 365 ou do Power Platform podem conseguir ver a política empresarial, mas irá surgir um erro quando tentarem adicionar um ambiente.
Importante
Tem de ter permissões Microsoft.Authorization/roleAssignments/write
, tais como Administrador de Acesso de Utilizador ou Proprietário para concluir esta tarefa.
- Inicie sessão no portal do Azure.
- Obtenha o ObjectID do utilizador administrador do Power Platform do Dynamics 365.
- Aceda à área Utilizadores.
- Abre o utilizador administrador do Dynamics 365 ou do Power Platform.
- Na página de descrição geral do utilizador, copie o ObjectID.
- Obtenha o ID de políticas empresariais:
- Aceda ao Explorador de Gráficos de Recursos de Azure.
- Execute esta consulta:
resources | where type == 'microsoft.powerplatform/enterprisepolicies'
- Desloque para a direita na página de resultados e selecione a ligação Ver detalhes.
- Na página Detalhes, copie o ID.
- Abra o CLI do Azure e execute o seguinte comando, substituindo o
<objId>
pelo ObjectID do utilizador e o<EP Resource Id>
pelo ID de política empresarial.New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>
Ligar política empresarial ao ambiente Dataverse
Importante
Tem de ter a função Administrador do Power Platform ou Administrador do Dynamics 365 para concluir esta tarefa. Tem de ter a função Leitor para a política empresarial para concluir esta tarefa.
- Obtenha o ID do ambiente Dataverse.
- Inicie sessão no Centro de administração do Power Platform.
- Selecione Ambientes e, em seguida, abra o seu ambiente.
- Na secção Detalhes, copie o ID do Ambiente.
- Para associar ao ambiente do Dataverse, execute este script do PowerShell:
./NewIdentity.ps1
- Forneça o ID do ambiente Dataverse.
- Forneça o ResourceId.
StatusCode = 202 indica que a ligação foi criada com êxito.
- Inicie sessão no Centro de administração do Power Platform.
- Selecione Ambientes e, em seguida, abra o ambiente que especificou anteriormente.
- Na área Operações recentes , selecione Histórico completo para validar a ligação da nova identidade.
Configurar o acesso à rede para o Azure Data Lake Storage Gen2
Importante
Tem de ter a função Proprietário do Azure Data Lake Storage Gen2 para concluir esta tarefa.
Aceda ao portal do Azure.
Abra a conta de armazenamento ligada ao seu perfil do Azure Synapse Link for Dataverse.
No painel de navegação esquerdo, selecione Rede. De seguida, no separador Firewalls e redes virtuais selecione as seguintes definições:
- Ativado a partir de redes virtuais e endereços IP selecionados.
- Em Instâncias do recurso, selecione Permitir que os serviços de Azure na lista de serviços fidedignos acedam a esta conta de armazenamento
Selecione Guardar.
Configurar o acesso à rede ao Azure Synapse Workspace
Importante
Tem de ter uma função Administrador do Synapse do Azure para concluir esta tarefa.
- Aceda ao portal do Azure.
- Abra o Azure Synapse Workspace ligado ao seu perfil do Azure Synapse Link for Dataverse.
- No painel de navegação esquerdo, selecione Rede.
- Selecione Permitir que os serviços e recursos do Azure acedam a esta área de trabalho.
- Se existirem Regras de firewall de IP criadas para todos os intervalos de IP, elimine-as para restringir o acesso à rede pública.
- Adicione uma nova Regra de firewall de IP baseada no endereço IP do cliente.
- Selecione Guardar quando terminar. Mais informações: Regras de firewall de IP do Azure Synapse Analytics
Crie um novo Azure Synapse Link for Dataverse com identidade gerida
Importante
Dataverse: Tem de ter o direito de acesso administrador de sistema do Dataverse. Além disso, as tabelas que pretende exportar através do Azure Synapse Link devem ter a propriedade Controlar alterações ativada. Mais informações: Opções avançadas
Azure Data Lake Storage Gen2: é necessário ter uma conta do Azure Data Lake Storage Gen2 e o direito de acesso Proprietário e Contribuidor de Dados do Blob de Armazenamento. A sua conta de armazenamento tem de permitir o Espaço de nomes hierárquico para a configuração inicial e para a sincronização delta. Permitir o acesso-chave à conta de armazenamento só é obrigatório para a configuração inicial.
Área de trabalho do Synapse: é necessário ter uma área de trabalho do Synapse e o direito de acesso Administrador do Synapse no Synapse Studio. A área de trabalho do Synapse tem de estar na mesma região que a sua conta do Azure Data Lake Storage Gen2. A conta de armazenamento deve ser adicionada como um serviço ligado dentro do Synapse Studio. Para criar uma área de trabalho do Synapse, aceda a Criar uma área de trabalho do Synapse.
Quando cria a ligação, o Azure Synapse Link for Dataverse obtém detalhes sobre a política empresarial atualmente associada no ambiente Dataverse e, em seguida, coloca em cache o URL segredo do cliente de identidade para ligar a Azure.
- Inicie sessão no Power Apps e selecione o seu ambiente.
- No painel de navegação esquerdo, selecione Azure Synapse Link e, em seguida, selecione + Nova ligação. Se o item não estiver no painel lateral, selecione ...Mais e, em seguida, selecione o item pretendido.
- Selecione Selecione Política Empresarial com Identidade de Serviço Gerido e, em seguida, selecione Seguinte.
- Adicione as tabelas que pretende exportar e, em seguida, selecione Guardar.
Ativar identidade gerida para um perfil do Azure Synapse Link existente
Nota
Para disponibilizar o comando Usar identidade gerida no Power Apps, precisa de concluir a configuração acima para conectar ligar a política empresarial ao seu ambiente do Dataverse. Mais informações: Ligar a política empresarial ao ambiente do Dataverse
- Aceda a um perfil existente do Synapse Link a partir do Power Apps (make.powerapps.com).
- Selecione Usar identidade gerida e confirme.
Resolução de Problemas
Se receber 403 erros durante a criação da ligação:
- As identidades geridas demoram mais tempo para conceder permissão transitória durante a sincronização inicial. Dê-lhe algum tempo e tente novamente a operação mais tarde.
- Certifique-se de que o armazenamento associado não tem o contentor Dataverse existente (dataverse-environmentName-organizationUniqueName) do mesmo ambiente.
- Pode identificar a política empresarial associada e
policyArmId
ao executar o script do PowerShell./GetIdentityEnterprisePolicyforEnvironment.ps1
com o ID de Subscrição de Azure e o nome do Grupo de recursos. - Pode desassociar a política empresarial executando o script do PowerShell
./RevertIdentity.ps1
com o ID de ambiente do Dataverse epolicyArmId
. - Pode remover a política empresarial executando o script do PowerShell .\RemoveIdentityEnterprisePolicy.ps1 com policyArmId.
Limitação conhecida
Apenas uma política empresarial pode ligar-se simultaneamente ao ambiente Dataverse. Se precisar de criar várias ligações Azure Synapse Link com a identidade gerida ativada, certifique-se de que todos os recursos do Azure ligados estão sob o mesmo grupo de recursos.
Consulte também
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários