Подключение к учетной записи Azure Data Lake Storage с помощью субъекта-службы Microsoft Entra

Заметка

Azure Active Directory теперь называется Microsoft Entra ID. Подробнее

Dynamics 365 Customer Insights - Data обеспечивает возможность подключения к учетной записи Azure Data Lake Storage с помощью субъекта-службы Microsoft Entra.

У автоматизированных инструментов, использующих службы Azure, должны быть ограниченные разрешения. Вместо того, чтобы приложения входили в систему как полностью привилегированный пользователь, Azure предлагает субъекты-службы. Используйте субъекты-службы для безопасного добавления или редактирования папки Common Data Model в качестве источника данных или создания или обновления среды.

Предварительные условия

• Учетная запись Data Lake Storage имеет включенное иерархическое пространство имен.
• Если нужно создать новую субъект-службу, потребуются права администратора для клиента Azure.

Создание субъекта-службы Microsoft Entra для Customer Insights

Перед созданием нового субъекта-службы для Customer Insights проверьте, не существует ли он уже в вашей организации. В большинстве случаев она уже существует.

Поиск существующего субъекта-службы

1. Перейдите на Портал администрирования Azure и войдите в свою организацию.

2. В разделе Службы Azure выберите Microsoft Entra.

3. В разделе Управление выберите Приложение Microsoft.

4. Добавьте фильтр ИД приложения начинается на0bfc4568-a4ba-4c58-bd3e-5d3e76bd7fff или выполните поиск по названию Dynamics 365 AI for Customer Insights.

5. Если вы найдете соответствующую запись, это означает, что субъект-служба уже существует. Предоставьте разрешения субъекту-службе для доступа к учетной записи хранения.

   

6. Если результаты не возвращаются, создайте новый субъект-службу.

Создание субъекта-службы

1. Установите последнюю версию Microsoft Entra ID PowerShell для Graph. Дополнительную информацию см. в разделе Установка Microsoft Entra ID PowerShell для Graph.

   1. Нажмите клавишу Windows на клавиатуре, найдите Windows PowerShell и выберите пункт Запуск от имени администратора.

   2. В открывшемся окне PowerShell введите Install-Module AzureAD.

2. Создайте субъект-службу с модулем PowerShell Microsoft Entra ID.

   1. В окне PowerShell введите Connect-AzureAD -TenantId "[your Directory ID]" -AzureEnvironmentName Azure. Замените [ваш идентификатор каталога] на фактический идентификатор каталога вашей подписки Azure, где вы хотите создать субъект-службу. Параметр имени среды AzureEnvironmentName является необязательным.

   2. Введите New-AzureADServicePrincipal -AppId "0bfc4568-a4ba-4c58-bd3e-5d3e76bd7fff" -DisplayName "Dynamics 365 AI for Customer Insights". Эта команда создает субъект-службу в выбранной подписке Azure.

Предоставление разрешений субъекту-службе для доступа к учетной записи хранения

Чтобы предоставить разрешения субъекту-службе для учетной записи хранения, которую вы хотите использовать в Customer Insights - Data, учетной записи хранения или контейнеру необходимо назначить одну из следующих ролей:

Учетные данные	Требования
Текущий вошедший в систему пользователь	При подключении к Azure Data Lake с использованием варианта Подписка Azure: Роль: Читатель данных хранилища BLOB-объектов, Участник хранилища BLOB-объектов или Владелец хранилища BLOB-объектов. Уровень: разрешения, предоставленные в отношении учетной записи хранения или контейнера. При подключении к Azure Data Lake с использованием варианта Ресурс Azure: Роль: действие Microsoft.Storage/storageAccounts/read Уровень: разрешения, предоставленные в отношении учетной записи хранения И Роль: Читатель данных хранилища BLOB-объектов, Участник хранилища BLOB-объектов или Владелец хранилища BLOB-объектов. Уровень: разрешения, предоставленные в отношении учетной записи хранения или контейнера. Для чтения и приема данных в Customer Insights - Data достаточно роли «Читатель данных хранилища BLOB-объектов». Однако для редактирования файлов манифеста в процессе подключения к данным необходима роль «Участник данных BLOB-объектов хранилища» или «Владелец данных BLOB-объектов хранилища».
Субъект-служба Customer Insights - Использование Azure Data Lake Storage в качестве источника данных	Параметр 1 Роль: Читатель данных хранилища BLOB-объектов, Участник данных хранилища BLOB-объектов или Владелец данных хранилища BLOB-объектов. Уровень: разрешения предоставлены учетной записи хранения. Вариант 2 (без совместного доступа субъекта-службы к учетной записи хранения) Роль 1: Читатель данных хранилища BLOB-объектов, Участник данных хранилища BLOB-объектов или Владелец данных хранилища BLOB-объектов. Уровень: разрешения предоставлены контейнеру. Роль 2: Делегирующий пользователь данных хранилища BLOB-объектов. Уровень: разрешения предоставлены учетной записи хранения.
Субъект-служба Customer Insights - Использование Azure Data Lake Storage в качестве выходных данных или пункта назначения	Параметр 1 Роль: Участник хранилища BLOB-объектов или Владелец хранилища BLOB-объектов. Уровень: разрешения предоставлены учетной записи хранения. Вариант 2 (без совместного доступа субъекта-службы к учетной записи хранения) Роль: Участник хранилища BLOB-объектов или Владелец хранилища BLOB-объектов. Уровень: разрешения предоставлены контейнеру. Роль 2: Делегирующий пользователь хранилища BLOB-объектов. Уровень: разрешения предоставлены учетной записи хранения.

1. Перейдите на Портал администрирования Azure и войдите в свою организацию.

2. Откройте учетную запись хранения, к которой вы хотите предоставить доступ субъект-службе.

3. На левой панели выберите Контроль доступа (IAM), затем выберите Добавить>Добавить назначение роли.

   

4. На панели Добавить назначение роли задайте следующие свойства:

   • Роль: Читатель данных хранилища BLOB-объектов, Участник данных хранилища BLOB-объектов или Владелец данных хранилища BLOB-объектов на основе перечисленных выше учетных данных.
   • Назначьте доступ: Пользователь, группа или субъект-служба
   • Выберите участников: Dynamics 365 AI для Customer Insights (субъект-служба, которую вы искали ранее в этой процедуре)

5. Выберите Проверить + назначить.

Внесение изменений может занять до 15 минут.

Введите идентификатор ресурса Azure или сведения о подписке Azure во вложении учетной записи хранения в Customer Insights - Data

Прикрепите учетную запись Data Lake Storage в Customer Insights - Data для хранения выходных данных или использования ее как источника данных. Выберите между подходом на основе ресурсов или на основе подписки и выполните следующие шаги.

Подключение к учетной записи хранения на основе ресурса

1. Перейдите на Портал администрирования Azure, войдите в свою подписку и откройте учетную запись хранения.

2. В левой области перейдите в раздел Параметры>Конечные точки.

3. Скопируйте значение идентификатора ресурса учетной записи хранения.

   

4. В Customer Insights - Data вставьте идентификатор ресурса в поле ресурса, отображаемое на экране подключения учетной записи хранения.

   

5. Выполните оставшиеся шаги, чтобы подключить учетную запись хранения.

Подключение к учетной записи хранения на основе подписки

1. Перейдите на Портал администрирования Azure, войдите в свою подписку и откройте учетную запись хранения.

2. На левой панели перейдите к Параметры>Свойства.

3. Проверьте поля Подписка, Группа ресурсов и Имя учетной записи хранения, чтобы убедиться, что вы выбрали правильные значения в Customer Insights - Data.

4. В Customer Insights - Data выберите значения для соответствующих полей при подключении учетной записи хранения.

5. Выполните оставшиеся шаги, чтобы подключить учетную запись хранения.