Dela via

Återställa Synapse Analytics-arbetsytan efter överföring av en prenumeration till en annan Microsoft Entra-katalog (klientorganisation)

  • Artikel

Den här artikeln beskriver hur du återställer Synapse Analytics-arbetsytan efter att ha överfört prenumerationen till en annan Microsoft Entra-katalog. Synapse Analytics-arbetsytan är inte tillgänglig efter överföring av en prenumeration till en annan Microsoft Entra-katalog (klientorganisation).

När du försöker starta Synapse Studio efter flytten visas felet: "Det gick inte att läsa in en eller flera resurser på grund av ingen åtkomst, felkod 403."

Screenshot of Synapse Studio Error 403 after tenant migration.

Följ stegen i den här artikeln när du har överfört en prenumeration mellan klientorganisationen för att återställa Synapse Analytics-arbetsytan.

Att överföra en prenumeration till en annan Microsoft Entra-katalog (klientorganisation) är en komplex process som måste planeras och köras noggrant. Azure Synapse Analytics kräver att säkerhetsobjekt (identiteter) fungerar som de ska. När en prenumeration flyttas till en annan klientorganisation ändras alla huvudnamns-ID:n, rolltilldelningar tas bort från Azure-resursen och systemtilldelade hanterade identiteter tas bort.

Information om hur du överför en prenumeration till en annan klient finns i Överföra en Azure-prenumeration till en annan Microsoft Entra-katalog

Den här artikeln beskriver stegen för att återställa en Synapse Analytics-arbetsyta när du har flyttat prenumerationen mellan klienter.

Förutsättningar

  • Mer information om tjänster eller resurser som påverkas av flytt av klientorganisation finns i Överföra en Azure-prenumeration till en annan Microsoft Entra-katalog.
  • Spara alla rolltilldelningar för Microsoft Entra-användare, grupper och hanterade identiteter. Den här informationen kan användas för att tilldela nödvändiga behörigheter för Azure-resurser som Azure Synapse Analytics och ADLS Gen2 efter flytt av klientorganisation. Se Steg 1: Förbered för överföringen
  • Spara alla behörigheter som krävs för Microsoft Entra-användare i en dedikerad och serverlös SQL-pool. Microsoft Entra-användare tas bort från de dedikerade och serverlösa SQL-poolerna när klientorganisationen har flyttats.

Steg för att återställa Synapse Analytics-arbetsytan

När du har överfört prenumerationen till en annan klient följer du stegen nedan för att återställa Azure Synapse Analytics-arbetsytan.

  1. Inaktivera den systemtilldelade hanterade identiteten och aktivera den på nytt. Mer information finns längre ned i den här artikeln.
  2. Tilldela Azure RBAC-behörigheter (rollbaserad åtkomstkontroll) till nödvändiga Microsoft Entra-användare, -grupper och hanterade identiteter på Synapse Analytics-arbetsytan och nödvändiga Azure-resurser.
  3. Ange SQL Active Directory-administratören.
  4. Återskapa Microsoft Entra-användare och -grupper baserat på motsvarande användare och grupper i den nya Microsoft Entra-klientorganisationen för de dedikerade och serverlösa SQL-poolerna.
  5. Tilldela Azure RBAC till Microsoft Entra-användare och -grupper till Synapse Analytics-arbetsytan. Det här steget bör vara det första steget efter att du har återställt arbetsytan. Utan det här steget genererar starten av Synapse Studio 403 meddelanden på grund av att Microsoft Entra-användare inte har behörighet på arbetsytan: 
    {"error":{"code":"Unauthorized","message":"The principal '<subscriptionid>' does not    have the required Synapse RBAC permission to perform this action. Required permission:    Action: Microsoft.Synapse/workspaces/read, Scope: workspaces/tenantmove-ws-1/*."}}
  6. Tilldela Azure RBAC-roller till Microsoft Entra-användare, -grupper och -tjänsthuvudnamn för alla resurser som används i arbetsytans artefakter, till exempel ADLS Gen2. Mer information om Azure RBAC i ADLS Gen2 finns i Rollbaserad åtkomstkontroll (Azure RBAC).
  7. Lägg till Synapse RBAC-rolltilldelningar till Microsoft Entra-användare och -grupper. Mer information finns i Så här hanterar du Synapse RBAC-rolltilldelningar i Synapse Studio
  8. Återskapa alla Microsoft Entra-inloggningar och -användare i den dedikerade och serverlösa SQL-poolen. Mer information finns i SQL-autentisering i Azure Synapse Analytics
  9. Återskapa alla användartilldelade hanterade identiteter och tilldela en användartilldelad hanterad identitet till Synapse Analytics-arbetsytan. Mer information finns i Autentiseringsuppgifter i Azure Data Factory och Azure Synapse

Kommentar

Se till att följande steg endast körs när du har bekräftat att prenumerationen har flyttats till en annan klientorganisation.

Inaktivera och återaktivera den systemtilldelade hanterade identiteten för Synapse Analytics-arbetsytan

Det här avsnittet visar hur du använder Azure CLI eller Azure PowerShell för att inaktivera och återaktivera den systemtilldelade hanterade identiteten för din Azure Synapse Analytics-arbetsyta. Överväg följande steg i Antingen Azure CLI eller Azure PowerShell.

$resourceGroupName="Provide the Resource group name"
$workspaceName="Provide the workspace name"
$subscriptionId="Provide the subscription Id"

$url = "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Synapse/workspaces/$workspaceName\?api-version=2021-06-01"

I nästa exempel inaktiveras systemtilldelad hanterad identitet för arbetsytan.

az rest --method patch --headers  Content-Type=application/json   `
--url  $url `
--body '{ \"identity\":{\"type\":\"None\"}}'

Arbetsytan provisioningState ska vara Lyckades och identitetstypen ska Ingen efter att föregående kommando har körts. Om du kör följande kommando provisioningState kan värdet visas som Etablering och det tar några minuter att ändra statusen till Lyckades. Värdet för provisioningState ska vara Lyckades innan den systemtilldelade hanterade identiteten för arbetsytan återaktiveras.

Om du vill hämta status för arbetsytan för att hämta etableringsstatus och identitetstyp använder du följande kodfragment:

az rest --method GET --uri $uri

Den resulterande JSON:en bör likna:

   {
  "id": "/subscriptions/<subscriptionid>/resourceGroups/TenantMove-RG/providers/Microsoft Synapse/workspaces/tenantmove-ws",
  "identity": {
    "type": "None"
  },
  "location": "eastus",
  "name": "tenantmove-ws",
  "properties": {
    "connectivityEndpoints": {
      "dev": "https://tenantmove-ws.dev.azuresynapse.net",
      "sql": "tenantmove-ws.sql.azuresynapse.net",
      "sqlOnDemand": "tenantmove-ws-ondemand.sql.azuresynapse.net",
      "web": "https://web.azuresynapse.net?workspace=%2fsubscriptions%2<subscriptionid>b%2fresourceGroups%2fTenantMove-RG%2fproviders%2fMicrosoft.Synapse%2fworkspaces%2ftenantmove-ws"
    },
    "cspWorkspaceAdminProperties": {
      "initialWorkspaceAdminObjectId": "<object id>"
    },
    "defaultDataLakeStorage": {
      "accountUrl": "https://tenantmovedemowsstorage.dfs.core.windows.net",
      "filesystem": "demo",
      "resourceId": "/subscriptions/<subscriptionid>/resourceGroups/TenantMove-RG/providers/Microsoft.Storage/storageAccounts/tenantmovedemowsstorage"
    },
    "encryption": {
      "doubleEncryptionEnabled": false
    },
    "extraProperties": {
      "WorkspaceType": "Normal"
    },
    "managedResourceGroupName": "tenantmove-ws-managed-rg",
    "privateEndpointConnections": [],
    "provisioningState": "Succeeded",
    "publicNetworkAccess": "Enabled",
    "sqlAdministratorLogin": "sqladminuser",
    "trustedServiceBypassEnabled": false,
    "workspaceUID": "<workspace UID>"
  },
  "resourceGroup": "TenantMove-RG",
  "tags": {},
  "type": "Microsoft.Synapse/workspaces"
}

Nästa kommando återaktiverar den systemtilldelade hanterade identiteten för arbetsytan:

az rest --method patch --headers  Content-Type=application/json   `
--url  $url `
--body '{ \"identity\":{\"type\":\"SystemAssigned\"}}'

Nästa kommando ger dig status för arbetsytan. Värdet provisioningState ska vara Lyckades. Värdet provisioningState ändras från Etablering till Lyckades. Identitetstypen ändras till SystemAssigned.

az rest --method GET --uri $uri

Nästa steg