Utilizar identidades geridas para Azure com o Azure Data Lake Storage

O Azure Data Lake Storage fornece um modelo de segurança em camadas. Este modelo permite-lhe proteger e controlar o nível de acesso às contas de armazenamento que as suas aplicações e ambientes empresariais exigem, com base no tipo e subconjunto de redes ou recursos utilizados. Quando as regras de rede são configuradas, apenas as aplicações que estão a pedir dados sobre o conjunto de redes especificado ou através do conjunto especificado de recursos de Azure podem aceder a uma conta de armazenamento. Pode limitar o acesso à sua conta de armazenamento a pedidos provenientes de endereços IP especificados, intervalos de IP, sub-redes numa Rede Virtual de Azure (VNet) ou instâncias de recursos de alguns serviços de Azure.

As identidades gerenciadas do Azure, anteriormente conhecidas como MSI (Managed Service Identity), ajudam no gerenciamento de segredos. Os clientes do Microsoft Dataverse que utilizam as capacidades de Azure criam uma identidade gerida (parte da criação de políticas empresariais) que pode ser utilizada para um ou mais ambientes Dataverse. Esta identidade gerida que será a aprovisionada no inquilino é então utilizada pelo Dataverse para aceder ao seu Azure Data Lake.

Com identidades geradas, o acesso à sua conta de armazenamento está restrito a pedidos provenientes do ambiente Dataverse associado ao inquilino. Quando o Dataverse se liga ao armazenamento em seu nome, inclui informações de contexto adicionais para demonstrar que o pedido tem origem num ambiente seguro e fiável. Isto permite que o armazenamento conceda acesso do Dataverse à sua conta de armazenamento. As identidades geridas são utilizadas para assinar as informações de contexto para estabelecer confiança. Isto adiciona segurança ao nível da aplicação, além da segurança de rede e da infraestrutura fornecida pelo Azure para ligações entre os serviços de Azure.

Antes de começar

• É obrigatório que a CLI do Azure esteja na sua máquina local. Transferir e instalar
• Necessita destes dois módulos do PowerShell. Se você não os tiver, abra o PowerShell e execute estes comandos:
  • Módulo do Azure Az PowerShell: Install-Module -Name Az
  • Módulo do Azure Az.Resources PowerShell: Install-Module -Name Az.Resources
  • Power Platform módulo admin PowerShell: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
• Vá para este arquivo de pasta compactada no GitHub. Em seguida, selecione Download para baixá-lo. Extraia o ficheiro de pastas comprimidas para um computador numa localização onde pode executar os comandos do PowerShell. Todos os arquivos e pastas extraídos de uma pasta compactada devem ser preservados em seu local original.
• Recomendamos que crie um novo contentor de armazenamento no mesmo grupo de recursos de Azure para integrar esta caraterística.

Ativar a política empresarial para a subscrição do Azure selecionada

Importante

Você deve ter acesso à função de Proprietário da assinatura do Azure para concluir esta tarefa. Obtenha sua ID de Assinatura do Azure na página de visão geral do grupo de recursos do Azure.

1. Abra a CLI do Azure com executar como Administrador e inicie sessão na sua subscrição do Azure utilizando o comando: az login Mais informações: iniciar sessão com a CLI do Azure
2. (Opcional) se tiver várias subscrições do Azure, certifique-se de que executa Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } para atualizar a sua subscrição predefinida.
3. Expanda a pasta compactada que você baixou como parte do Antes de iniciar esse recurso para um local onde você possa executar o PowerShell.
4. Para habilitar a política empresarial para a assinatura do Azure selecionada, execute o script PowerShell./SetupSubscriptionForPowerPlatform.ps1.
   • Forneça o ID de subscrição de Azure.

Criar uma política empresarial

Importante

Você deve ter acesso à função Proprietário do grupo de recursos do Azure para concluir esta tarefa. Obtenha a ID da Subscrição do Azure, a Localização e o nome do grupo de recursos a partir da página de descrição geral do grupo de recursos do Azure.

1. Crie a política empresarial. Executar script do PowerShell ./CreateIdentityEnterprisePolicy.ps1

   • Forneça o ID de subscrição de Azure.
   • Forneça o nome do grupo de recursos de Azure.
   • Forneça o nome da política empresarial preferencial.
   • Forneça a localização do grupo de recursos de Azure.

2. Salve a cópia do ResourceId após a criação da política.

Nota

A seguir estão as entradas de local válidas suportadas para a criação de políticas. Selecione a localização mais apropriada para si.

Localizações disponíveis para a política empresarial

Estados Unidos da América EUAP

Estados Unidos da América

África do Sul

Reino Unido

Austrália

Coreia do Sul

Japão

Índia

França

Europa

Ásia

Noruega

Alemanha

Suíça

Canadá

Brasil

UAE

Singapura

Conceder acesso de leitura à política empresarial através de Azure

Dynamics 365 administradores e Power Platform administradores podem acessar o Power Platform centro de administração para atribuir ambientes à política empresarial. Para acessar as políticas corporativas, a associação de administrador do Cofre da Chave do Azure é necessária para conceder a Leitor função ao Dynamics 365 ou Power Platform administrador. Assim que a função Leitor for concedida, os Dynamics 365 ou Power Platform administradores verão as políticas empresariais no Power Platform centro de administração.

Apenas os administradores do Dynamics 365 e do Power Platform a quem foi concedida a função de leitor à política empresarial podem "adicionar um ambiente" à política. Outros administradores do Dynamics 365 ou do Power Platform podem conseguir ver a política empresarial, mas irá surgir um erro quando tentarem adicionar um ambiente.

Importante

Você deve ter - Microsoft.Authorization/roleAssignments/write permissions, como Acesso de Usuário Administrador ou Proprietário para concluir esta tarefa.

1. Inicie sessão no portal do Azure.
2. Obtenha o ObjectID Power Platform do utente administrador do Dynamics 365.
   1. Aceda à área Utilizadores .
   2. Abre o utilizador administrador do Dynamics 365 ou do Power Platform.
   3. Na página de visão geral do utente, copie o ObjectID.
3. Obtenha o ID das políticas empresariais:
   1. Vá para o Azure Resource Graph Explorer.
   2. Execute esta consulta: resources | where type == 'microsoft.powerplatform/enterprisepolicies'
   3. Role para a direita da página de resultados e selecione o link Ver detalhes .
   4. Na página Detalhes , copie o ID.
4. Abra a CLI do Azure e execute o seguinte comando, substituindo o <objId> com o ObjectID do utente e o <EP Resource Id> com o ID da política empresarial.
   • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Ligar política empresarial ao ambiente Dataverse

Importante

Você deve ter o Power Platform Administrador ou Dynamics 365 Administrador role para concluir esta tarefa. Você deve ter a função Leitor para que a política empresarial conclua essa tarefa.

1. Obtenha o ID do ambiente Dataverse.
   1. Inicie sessão no centro Power Platform deadministração.
   2. Selecione Ambientes e, em seguida, abra o ambiente.
   3. Na secção Detalhes , copie a ID doambiente.
   4. Para vincular ao Dataverse ambiente, execute este script do PowerShell: ./NewIdentity.ps1
   5. Forneça o ID do ambiente Dataverse.
   6. Forneça o ResourceId.
      StatusCode = 202 indica que o link foi criado com êxito.
2. Inicie sessão no centro Power Platform deadministração.
3. Selecione Ambientes e abra o ambiente especificado anteriormente.
4. Na área Operações recentes, selecione Histórico completo para validar a conexão da nova identidade.

Configurar o acesso à rede para o Azure Data Lake Storage Gen2

Importante

Você deve ter uma Azure Data Lake Storage função de Proprietário Gen2 para concluir esta tarefa.

1. Aceda ao portal do Azure.

2. Abra a conta de armazenamento ligada ao seu perfil do Azure Synapse Link for Dataverse.

3. No painel de navegação esquerdo, selecione Rede. Em seguida, na guia Firewalls e redes virtuais, selecione as seguintes configurações:

   1. Ativado a partir de redes virtuais e endereços IP selecionados.
   2. Em Instâncias de recursos, selecione Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa conta de armazenamento

4. Selecione Guardar.

Configurar o acesso à rede ao Azure Synapse Workspace

Importante

Você deve ter uma função Administrador Sinapse do Azure para concluir essa tarefa.

1. Aceda ao portal do Azure.
2. Abra o Azure Synapse Workspace ligado ao seu perfil do Azure Synapse Link for Dataverse.
3. No painel de navegação esquerdo, selecione Rede.
4. Selecione Permitir que os serviços e recursos do Azure acessem este espaço de trabalho.
5. Se houver regras de firewall IP criadas para todos os intervalos de IP, exclua-as para restringir o acesso à rede pública.
6. Adicione uma nova regra de firewall IP com base no endereço IP do cliente.
7. Selecione Salvar quando terminar. Para obter mais informações: Azure Synapse Analytics Regras de firewall IP

Crie um novo Azure Synapse Link for Dataverse com identidade gerida

Importante

Dataverse: Você deve ter o Dataverse sistema Administrador direito de acesso. Além disso, as tabelas que você deseja exportar devem Azure Synapse Link ter a propriedade Controlar alterações habilitada. Mais informações: Opções avançadas

Azure Data Lake Storage Gen2: Você deve ter uma Azure Data Lake Storage conta Gen2 e acesso de contribuinte função de Dados de Blob de Proprietário e Armazenamento. Sua conta de armazenamento deve habilitar o namespace hierárquico para a configuração inicial e a sincronização delta. Permitir o acesso à chave da conta de armazenamento é necessário apenas para a configuração inicial.

Espaço de trabalho Synapse: Você deve ter um espaço de trabalho Synapse e o acesso Synapse Administrador role dentro do Synapse Studio. A área de trabalho do Synapse tem de estar na mesma região que a sua conta do Azure Data Lake Storage Gen2. A conta de armazenamento deve ser adicionada como um serviço ligado dentro do Synapse Studio. Para criar um espaço de trabalho Synapse, vá para Criar um espaço de trabalho Synapse.

Quando cria a ligação, o Azure Synapse Link for Dataverse obtém detalhes sobre a política empresarial atualmente associada no ambiente Dataverse e, em seguida, coloca em cache o URL segredo do cliente de identidade para ligar a Azure.

1. Faça login Power Apps e selecione seu ambiente.
2. No painel de navegação esquerdo, selecione Azure Synapse Link e, em seguida, selecione + Novo link. Se o item não estiver no painel lateral, selecione ... Mais e, em seguida, selecione o item desejado.
3. Preencha os campos apropriados, de acordo com a configuração pretendida. Selecione a conta Assinatura, Grupo de recursos e Armazenamento. Para se conectar Dataverse ao espaço de trabalho Sinapse, selecione a opção Conectar ao seu Azure Synapse espaço de trabalho . Para conversão de dados Delta Lake, selecione um pool Spark.
4. Selecione Selecionar Política Empresarial com Identidade de Serviço Gerenciado e selecioneAvançar .
5. Adicione as tabelas que pretende exportar e, em seguida, selecione Guardar.

Ativar identidade gerida para um perfil do Azure Synapse Link existente

Nota

Para disponibilizar o comando Usar identidade Power Appsgerenciada, você precisa concluir a configuração acima para conectar a política empresarial ao seu Dataverse ambiente. Para obter mais informações: Conectar a política empresarial ao Dataverse ambiente

1. Aceda a um perfil existente do Synapse Link a partir do Power Apps (make.powerapps.com).
2. Selecione Usar identidade gerenciada e confirme.

Resolução de Problemas

Se receber 403 erros durante a criação da ligação:

• As identidades geridas demoram mais tempo para conceder permissão transitória durante a sincronização inicial. Dê-lhe algum tempo e tente novamente a operação mais tarde.
• Verifique se o armazenamento vinculado não tem o contentor existente Dataverse (dataverse-environmentName-organizationUniqueName) do mesmo ambiente.
• Você pode identificar a política empresarial vinculada e policyArmId executando o script ./GetIdentityEnterprisePolicyforEnvironment.ps1 do PowerShell com a ID da Assinatura do Azure e o nome do grupo de recursos.
• Você pode desvincular a política empresarial executando o script ./RevertIdentity.ps1 do PowerShell com a ID do Dataverse ambiente e policyArmId.
• Você pode remover a política empresarial executando o script PowerShell.\RemoveIdentityEnterprisePolicy.ps1 com policyArmId.

Limitação conhecida

Apenas uma política empresarial pode ligar-se simultaneamente ao ambiente Dataverse. Se precisar de criar várias ligações Azure Synapse Link com a identidade gerida ativada, certifique-se de que todos os recursos do Azure ligados estão sob o mesmo grupo de recursos.

Consulte também

O que é Azure Synapse Link for Dataverse?