Используйте собственную учетную запись Azure Data Lake Storage 2-го поколения

Dynamics 365 Customer Insights - Data позволяет хранить данные о ваших клиентах в Azure Data Lake Storage 2-го поколения. Данные о клиентах включают данные, которые вы импортируете, и выходные данные, такие как унифицированные профили и сегменты. Некоторые выходные данные также хранится в виде таблиц в Microsoft Dataverse вместе с метаданными, такими как правила соответствия или конфигурация сегмента, а также поисковый индекс. Сохраняя данные в Data Lake Storage, вы соглашаетесь с тем, что данные будут передаваться и храниться в соответствующем географическом местоположении для этой учетной записи хранения Azure. Дополнительные сведения см. в Центре управления безопасностью Microsoft.

Администраторы в Customer Insights - Data могут создавать среды, а также указывать способ хранения данных в процессе.

Предварительные условия

• Учетные записи Azure Data Lake Storage должны быть из того же региона Azure, который вы выбрали при создании среды Customer Insights - Data. Чтобы узнать регион среды, перейдите в раздел Параметры>Система>Сведения.
• Учетная запись Data Lake Storage должна иметь включенное иерархическое пространство имен.
• У администратора, выполняющего настройку среды Customer Insights - Data, должна быть роль "Участник данных BLOB-объектов хранилища" или "Владелец данных BLOB-объектов хранилища" в учетной записи хранения или контейнере customerinsights. Дополнительные сведения о назначении разрешений в учетной записи хранения см. в разделе Создание учетной записи хранения.

Подключение Customer Insights - Data к учетной записи хранения

При создании новой среды убедитесь, что учетная запись Data Lake Storage существует и соблюдены все необходимые условия.

1. На этапе Хранилище данных при создании среды в качестве места сохранения для параметра Сохранять выходные данные выберите Azure Data Lake Storage 2-го поколения.
2. Выберите, как требуется Подключить хранилище. Можно выбрать один из двух вариантов: проверка подлинности на основе ресурсов и проверка подлинности на основе подписки. Для получения дополнительной информации см. раздел Подключение к учетной записи Azure Data Lake Storage с помощью субъекта-службы Microsoft Entra.
   • Для параметра Подписка Azure выберите Подписку, Группу ресурсов и Учетную запись хранения, содержащую контейнер customerinsights.
   • Для параметра Ключ учетной записи укажите Имя учетной записи и Ключ учетной записи для учетной записи Data Lake Storage. Использование этого способа проверки подлинности подразумевает, что вы будете проинформированы, если ваша организация изменит ключи. При смене ключа вам будет необходимо обновить конфигурацию среды, используя новый ключ.
3. Выберите, хотите ли вы использовать приватный канал Azure для подключения к учетной записи хранения, и создайте подключение к приватному каналу.

Когда системные процессы, такие как прием данных, завершены, система создает соответствующие папки в учетной записи хранения. Файлы данных и файлы model.json создаются и добавляются в папки на основе имени процесса.

Если вы создаете несколько сред и выбираете сохранение выходных таблиц из этих сред в свою учетную запись хранения, система создает отдельные папки для каждой среды с ci_environmentID в контейнере.

Включить обмен данными с Dataverse из собственного Azure Data Lake Storage (предварительная версия)

[Данная статья посвящена предварительному выпуску и может быть изменена.]

Dynamics 365 Customer Insights - Data записывает выходные данные, такие как унифицированные профили и сегменты, в ваше хранилище Azure Data Lake Storage. Вы можете включить обмен данными, чтобы выходные данные в вашем хранилище Azure Data Lake Storage были доступны для вашей среды Microsoft Dataverse. У пользователя, который настраивает среду Customer Insights - Data, должны быть как минимум разрешения Чтение данных BLOB-объектов хранилища в контейнере customerinsights в учетной записи хранения.

Внимание

• Это предварительная версия функции.
• Предварительные версии функций не предназначены для использования в производственной среде, а их функциональность может быть ограничена. Они доступны перед официальным выпуском, чтобы клиенты могли досрочно получить доступ и предоставить отзывы.

Ограничения

• Между организацией Dataverse и учетной записью Azure Data Lake Storage поддерживается одно взаимно-однозначное сопоставление.
• Целевую учетную запись хранения нельзя изменить.
• Обмен данными не работает, если для доступа к вашей учетной записи Azure Data Lake Storage требуется настройка приватного канала Azure, так как он находится за межсетевым экраном. Dataverse в настоящее время не поддерживает подключение к частным конечным точкам через приватный канал.

Настройка групп безопасности вашего собственного Azure Data Lake Storage

1. Создайте две группы безопасности в своей подписке Azure — одну группу безопасности Читатель и одну группу безопасности Участник и задайте службу Microsoft Dataverse в качестве владельца обеих групп безопасности.

2. Управляйте списком управления доступом (ACL) в контейнере customerinsights в своей учетной записи хранения с помощью этих групп безопасности.

   1. Добавьте службу Microsoft Dataverse и любые бизнес-приложения на основе Dataverse, такие как Dynamics 365 Sales, в группу безопасности Читатель с разрешениями только для чтения.
   2. Добавьте только приложение Customers Insights для группы безопасности Участник для предоставления разрешений на чтение и запись, чтобы записывать профили и аналитику.

Настройка PowerShell

Настройте PowerShell для выполнения сценариев PowerShell.

1. Установите последнюю версию Azure Active Directory PowerShell для Graph.

   1. На ПК нажмите клавишу Windows на клавиатуре и выполните поиск Windows PowerShell, затем выберите Запуск от имени администратора.
   2. В открывшемся окне PowerShell введите Install-Module AzureAD.

2. Импортируйте три модуля.

   1. В окне Powershell введите Install-Module -Name Az.Accounts и выполните следующее.
   2. Повторите для Install-Module -Name Az.Resources и Install-Module -Name Az.Storage.

Выполнение сценариев PowerShell и получение идентификатора разрешения

1. Загрузите два сценария PowerShell, которые вам нужно запустить, из репозитория GitHub нашего специалиста.

   • CreateSecurityGroups.ps1: требует разрешений администратора клиента.
   • ByolSetup.ps1: требует разрешений владельца данных BLOB-объектов хранилища на уровне учетной записи хранения или контейнера. Этот скрипт создает для вас разрешение. Ваше назначение роли может быть удалено вручную после успешного запуска сценария.

2. Выполните CreateSecurityGroups.ps1 в Windows PowerShell, указав идентификатор подписки Azure, содержащий ваш Azure Data Lake Storage. Откройте сценарий PowerShell в редакторе, чтобы просмотреть дополнительную информацию и реализованную логику.

   Этот скрипт создает две группы безопасности в вашей подписке Azure: одну для группы "Читатель" и другую для группы "Участник". Служба Microsoft Dataverse является владельцем обеих этих групп безопасности.

3. Сохраните оба значения ID группы безопасности, сгенерированные этим сценарием, чтобы использовать их в сценарии ByolSetup.ps1.

   Заметка

   Создание группы безопасности можно отключить в вашем клиенте. В этом случае потребуется ручная настройка, и ваш администратор Azure AD должен был включить создание групп безопасности.

4. Выполните сценарий ByolSetup.ps1 в Windows PowerShell, указав идентификатор подписки Azure, содержащий ваш Azure Data Lake Storage, имя учетной записи хранения, имя группы ресурсов и значения идентификаторов группы безопасности "Читатель" и "Участник". Откройте сценарий PowerShell в редакторе, чтобы просмотреть дополнительную информацию и реализованную логику.

   Этот сценарий добавляет необходимое управление доступом на основе ролей для службы Microsoft Dataverse и любых бизнес-приложений на основе Dataverse. Это также обновляет список управления доступом (ACL) в контейнере customerinsights для групп безопасности, созданных с помощью сценария CreateSecurityGroups.ps1. Группа "Участник" получает разрешение rwx, а группа "Читатели" получает только разрешение r-x.

5. Скопируйте выходную строку, которая выглядит следующим образом: https://DVBYODLDemo/customerinsights?rg=285f5727-a2ae-4afd-9549-64343a0gbabc&cg=720d2dae-4ac8-59f8-9e96-2fa675dbdabc

6. Введите скопированную выходную строку в поле Идентификатор разрешений во время настройки среды для Microsoft Dataverse.