Nastavenie spravovaných identít pre účty úložísk za firewallom

Ak máte úložisko Azure chránené bránami firewall, použite spravované identity pre prostriedky Azure na pripojenie Customer Insights - Data. Spravované identity poskytujú automaticky spravovanú identitu v Microsoft Entra ID pre aplikácie, ako napríklad Customer Insights - Data, ktoré sa majú použiť pri pripájaní k prostriedkom, ktoré podporujú Microsoft Entra overenie. K spravovanej identite nie je možné pristupovať ani ju nemožno použiť mimo jej nakonfigurovaných koncových bodov. Ďalšie informácie nájdete v časti Spravované identity pre prostriedky Azure.

Existujú tri scenáre, v ktorých Customer Insights - Data je možné nakonfigurovať pripojenie ku kontajnerom úložiska Azure chránených firewallom:

• Výstupné úložisko, ktoré je možné nakonfigurovať pri nastavovaní na používanie vlastného dátového jazera Azure.
• Zdroje údajov, ktoré čítajú z úložiska dátového jazera Azure (Common Data Models (CDM), Delta tabuľky alebo Synapse).
• Exporty, ktoré zapisujú do dátového jazera Azure.

Ak používate Azure Private Link, prečítajte si predpoklady a potom migrujte svoje súkromné ​​prepojenia na spravované identity.

Požiadavky

• Máte rolu vlastníka predplatného Azure.
• Máte prístup do Power Platform centra spravovania a portálu Azure.
• Účet Azure Storage sa nachádza v rovnakej oblasti ako Customer Insights – Data Dataverse prostredie.
• Máte Dataverse identifikátor prostredia pre Customer Insights - Data. Upravte prostredie , aby ste získali adresu URL prostredia údajov Customers Insights. Potom prejdite na adresu URL a získajte ID prostredia z Power Platform centra spravovania.
• Máte ID predplatného Azure, umiestnenie a názov skupiny prostriedkov pre každý kontajner úložiska.
• Azure CLI sa stiahne a nainštaluje.
• Sú nainštalované nasledujúce moduly PowerShell:
  • Modul Azure Az PowerShell: Install-Module -Name Az
  • Modul Azure Az.Resources PowerShell: Install-Module -Name Az.Resources
  • Power Platform admin modul PowerShell: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
• Stiahli a extrahovali ste spravovaný súbor identít GitHub komprimovaný v umiestnení, kde môžete spúšťať príkazy PowerShell.

Povoľte prístup k úložisku prostredníctvom spravovaných identít

Tieto kroky vykonajte raz za predplatné.

1. Zistite, či existuje podniková politika pre Dataverse prostredie. Spustite skript: GetIdentityEnterprisePolicyForEnvironment

   Ak politika existuje, získajte ID politiky a prejdite na krok 5. Ak neexistuje žiadna podniková politika, pokračujte nasledujúcimi krokmi.

2. Povoľte podnikovú politiku pre predplatné Azure.

3. Vytvorte podnikovú politiku. Jedna politika môže byť použitá pre viacero Dataverse prostredí.

4. Udeľte čitateľovi prístup k podnikovým pravidlám.

5. Prepojte podnikovú politiku s Dataverse prostredím.

Udeľte prístup k podnikovej politike k úložisku Azure

Vykonajte tieto kroky pre každý účet úložiska alebo kontajner.

1. Prihláste sa do portálu Azurel.

2. Otvorte účet úložiska, ktorý chcete pripojiť. Ak chcete udeliť prístup ku konkrétnemu kontajneru, prejdite na Kontajnery v časti Úložisko údajov a vyberte kontajner.

3. Na ľavej navigačnej table vyberte Access Control (IAM).

4. Vyberte kartu Priradenia rolí . Vyberte Pridať>Pridať priradenie roly.

5. Vyhľadajte a vyberte položku Prispievateľ údajov objektu Blob.

6. Vyberte kartu Členovia . V časti Priradiť prístup k vyberte možnosť Spravovaná identita.

7. Vyberte Vybrať členov, vyberte správne predplatné a potom vyberte možnosť microsoft.powerplatform/enterprisepolicies[Identity] .

8. Vyberte podnikovú politiku, ktorú ste vytvorili, a potom vyberte Uložiť.

Povoliť prístup podnikovej politiky k účtu úložiska za bránou firewall

1. Otvorte účet úložiska na portáli Azure.

2. Vyberte kartu Sieť .

3. Vyberte Povolené z vybratých virtuálnych sietí a adries IP.

4. Pre Typ zdroja vyberte Microsot.PowerPlatform/enterprisePolicies a názov inštancie pre podnikovú politiku.

5. Vyberte položku Uložiť.

Migrujte súkromné ​​prepojenia na spravované identity pre prostriedky Azure

Existujúce súkromné ​​prepojenia Azure sa musia aktualizovať na spravované identity pre prostriedky Azure do 30. novembra 2024. Customer Insights - Data poskytuje informácie, ktoré váš vlastník predplatného Azure potrebuje na povolenie spravovaných identít. Ak nemôžete aktualizovať svoju inštanciu do stanoveného termínu, požiadajte o predĺženie o 30 dní na CIDManagedIdentity@Microsoft.com.

Banner Vyžaduje sa akcia vás informuje, že máte jeden alebo viac účtov úložiska, ktoré je potrebné inovovať, aby spĺňali bezpečnostné požiadavky. V banneri vyberte Zobraziť podrobnosti.

1. Rozbaľte krok 1: Povoľte spravovanú identitu Azure na portáli správcu Azure.

   • Vyberte Kopírovať informácie o účte úložiska. Všetky informácie potrebné na migráciu sa skopírujú. Ak chcete povoliť spravované identity, odošlite informácie svojmu vlastníkovi predplatného Azure. Ak chcete zobraziť podrobnosti o pripojení, vyberte Rozbaliť.

   • Keď váš vlastník predplatného Azure potvrdí, že povolil spravované identity pre prístup k Azure, prejdite na krok 2 a aktualizujte svoje pripojenia.

2. Rozbaľte krok 2: Aktualizujte svoje pripojenia a potom vyberte Pokúsiť sa aktualizovať pripojenia. Počkajte, kým sa pripojenia aktualizujú. Ak sa vyskytne chyba, kontaktujte svojho vlastníka predplatného Azure.

Najčastejšie otázky

Prečo to robíme?

Spravované identity pre prostriedky Azure sú odporúčaným spôsobom pripojenia k prostriedkom Azure za bránou firewall pomocou obmedzeného princípu služby, ktorý možno použiť iba medzi dvoma určenými koncovými bodmi. Poverenia pre principál služby nie je možné exportovať ani zobraziť.

Kde sa môžem dozvedieť viac o spravovaných identitách pre prostriedky Azure?

Prejdite na stránku Spravované identity pre prostriedky Azure.

Ako povolím spravovanú identitu pre prístup k prostriedkom Azure ku kontajnerom úložiska?

Vlastník predplatného Azure umožňuje spravované identity v Azure CLI pomocou skriptu poskytnutého spoločnosťou Microsoft. Prejdite na stránku Nastavenie spravovaných identít pre účty úložiska za bránami firewall.

Ako nakonfigurujem pripojenia v Customer Insights - Data na používanie spravovaných identít pre prostriedky Azure?

Pri vytváraní pripojenia vyberte Tento účet úložiska je za bránou firewall . Úložný kontajner musí existovať a musí byť nakonfigurovaný tak, aby umožňoval prístup k prostriedkom Azure prostredníctvom spravovaných identít, aby bolo možné uložiť dátové pripojenie.

Máme ďalšie produkty, ktoré využívajú súkromné ​​odkazy na tieto kontajnery. Budú fungovať aj po prechode na spravované identity?

Áno, existujúce súkromné ​​odkazy budú naďalej fungovať. Ak ich už nepotrebujete, odporúčame vám po prechode na spravované identity odstrániť súkromné ​​prepojenia v Azure.

V mojom prípade sa mi stále zobrazuje „Povoliť súkromné ​​odkazy“.

Inštancie, kde sa pripojenia zobrazujú Povoliť súkromné ​​odkazy budú čoskoro aktualizované. Vaša inštancia je pripravená použiť spravované identity, keď sa zobrazia nové dátové pripojenia Tento účet úložiska je za firewallom.

Aké sú scenáre v Customer Insights – Údaje, ktoré používajú spravované identity pre Azure?

Existujú tri scenáre, v ktorých sa CI-Data pripája k dátovému jazeru Azure, ktoré môže byť za bránou firewall:

• Výstupné úložisko, ktoré je možné nakonfigurovať pri nastavovaní na používanie vlastného dátového jazera Azure.
• Zdroje údajov, ktoré čítajú z úložiska dátového jazera Azure (Common Data Models (CDM), Delta tabuľky alebo Synapse).
• Exporty, ktoré zapisujú do dátového jazera Azure.

Ako požiadame o predĺženie?

Pošlite žiadosti o rozšírenie na CIDManagedIdentity@Microsoft.com. Do požiadavky zahrňte všetky Customer Insights – Data InstanceID (umiestnené na adrese URL).

V prípade ďalších otázok kontaktujte CIDManagedIdentity@Microsoft.com.