Dela via

Använd hanterade identiteter för Azure med din Azure Data Lake Storage

  • Artikel

Azure Data Lake Storage innehåller en säkerhetsmodell i flera skikt. Med den här modellen kan du säkerställa och kontrollera åtkomstnivån för dina lagringskonton som dina program och företagsmiljöer kräver, baserat på typ och deluppsättning av nätverk eller resurser som används. När nätverksregler konfigureras kan endast program som begär data över den angivna uppsättningen nätverk eller via den angivna uppsättningen Azure-resurser få åtkomst till ett lagringskonto. Du kan begränsa åtkomsten till ditt lagringskonto till förfrågningar som kommer från angivna IP-adresser, IP-intervaller, undernät i en Azure Virtual Network (VNet) eller resursinstanser av vissa Azure-tjänster.

Hanterade identiteter för Azure, tidigare känd som identitet för hanterad tjänst (MSI) hjälper dig med hanteringen av hemligheter. Microsoft Dataverse-kunder som använder Azure-funktioner skapar en hanterad identitet (en del av skapandet av företagets policy) som kan användas för en eller flera Dataverse-miljöer. Den hanterade identiteten som tillhandahålls i din klientorganisation används sedan av Dataverse för att få åtkomst till dina Azure-data.

Med hanterade identiteter är åtkomsten till ditt lagringskonto begränsad till förfrågningar från den Dataverse-miljö som är associerad med din klientorganisation. När Dataverse ansluter till ett lagringsutrymme för din räkning innehåller den ytterligare sammanhangsinformation som visar att förfrågan har sitt ursprung i en säker och betrodd miljö. Detta gör att lagringsutrymmet kan ge Dataverse åtkomst till ditt lagringskonto. Hanterade identiteter används för att signera sammanhangsinformation för att skapa förtroende. Detta lägger till säkerhet på programnivå utöver den nätverks- och infrastruktursäkerhet som Azure tillhandahåller för anslutningar mellan Azure-tjänster.

Innan du börjar

  • Azure CLI krävs på din lokala dator. Ladda ned och installera
  • Du behöver de här två PowerShell-modulerna. Om du inte har dem öppnar du PowerShell och kör följande kommandon:
    • Azure Az PowerShell-modul: Install-Module -Name Az
    • Azure Azure.Resources PowerShell-modul: Install-Module -Name Az.Resources
    • Power Platform administration PowerShell-modul: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Gå till den komprimerade mappfilen på GitHub. Välj sedan Hämta för att starta hämtningen. Extrahera den komprimerade mappfilen till en dator på en plats där du kan köra PowerShell-kommandon. Alla filer och mappar som har extraherats från en komprimerad mapp bör behållas på ursprungsplatsen.
  • Vi rekommenderar att du skapar en ny lagringsbehållare behållare under samma Azure-resursgrupp för att registrera den här funktionen.

Aktivera företagspolicy för den valda Azure-prenumerationen

Viktigt

Du måste ha åtkomst till rollen Azure-prenumeration ägare för att kunna utföra den här uppgiften. Hämta ditt Azure prenumerations-ID från översiktssidan för Azure-resursgruppen.

  1. Öppna Azure CLI med kör som administratör och logga in på din Azure-prenumeration med kommandot: az login Mer information: Logga in med Azure CLI
  2. (Valfritt) Om du har flera Azure-prenumerationer ska du se till att köra Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } för att uppdatera din standardprenumeration.
  3. Expandera den komprimerade mappen som du hämtade som en del av Innan du börjar för den här funktionen till en plats där du kan köra PowerShell.
  4. För att aktivera företagspolicyn för den valda Azure-prenumerationen, kör PowerShell-skriptet ./SetupSubscriptionForPowerPlatform.ps1.
    • Tillhandahåll prenumerations-ID för Azure.

Skapa en företagspolicy

Viktigt

Du måste ha åtkomst till rollen Azure resursgrupp ägare för att kunna utföra den här uppgiften. Hämta ditt namn för Azure Prenumerations-ID, Plats och Resursgrupp från översiktssidan för Azure-resursgruppen.

  1. Skapa företagspolicyn. Kör PowerShell-skript ./CreateIdentityEnterprisePolicy.ps1

    • Tillhandahåll prenumerations-ID för Azure.
    • Ge namnet på Azure-resursgruppen.
    • Ange önskat namn på företagspolicyn.
    • Ge platsen för Azure-resursgruppen.

  2. Spara kopian av ResourceId när policyn har skapats.

Anteckning

Följande är de giltiga indata för plats som stöds för att skapa en policy. Välj den plats som passar dig bäst.

Tillgängliga platser för företagspolicy

USA EUAP

USA

Sydafrika

Storbritannien

Australien

Sydkorea

Japan

Indien

Frankrike

Europa

Asien

Norge

Tyskland

Schweiz

Kanada

Brasilien

UAE

Singapore

Ge läsare åtkomst till företagspolicyn via Azure

Azure globala administratörer, Dynamics 365-administratörer och Power Platform-administratörer kan få åtkomst till Power Platform administrationscenter för att tilldela miljöer till företagspolicyn. För att komma åt företagspolicyerna krävs den globala eller Azure Key Vault-administratören för att bevilja rollen Läsare till Dynamics 365- eller Power Platform-administratörer. När rollen Läsare beviljas kommer Dynamics 365- eller Power Platform-administratörer att se företagspolicyerna i Power Platform administrationscenter.

Endast de Dynamics 365- och Power Platform-administratörer som tilldelas läsarrollen till företagspolicyn kan lägga till en miljö till policyn. Andra Dynamics 365- eller Power Platform-administratörer kanske kan se företagspolicyn men de får ett felmeddelande när de försöker lägga till miljö.

Viktigt

Du måste ha – Microsoft.Authorization/roleAssignments/write behörigheter, till exempel Användaråtkomst administratör eller Ägare kunna utföra den här uppgiften.

  1. Logga in på Azure-portalen.
  2. Hämta Dynamics 365 Power Platform administratörsanvändares ObjectID.
    1. Gå till området Användare.
    2. Öppna Dynamics 365- eller Power Platform-administratörsanvändare.
    3. Kopiera ObjectID under användarens översiktssida.
  3. Hämta företagspolicyernas ID:
    1. Gå till Azure Resource Graph Explorer.
    2. Kör den här frågan: resources | where type == 'microsoft.powerplatform/enterprisepolicies' Kör fråga från Azure Resource Graph Explorer
    3. Bläddra till höger om resultatsidan och välj länken Visa information.
    4. På sidan Detaljer, kopiera ID.
  4. Öppna Azure CLI och kör följande kommando och ersätter <objId> med användarens ObjectID och <EP Resource Id> med företagspolicy-ID.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Anslut företagspolicy till Dataverse-miljö

Viktigt

Du måste ha rollen Power Platform administratör eller Dynamics 365 administratör för att slutföra denna uppgift. Du måste ha rollen Läsare för att företagspolicyn ska kunna slutföra den här uppgiften.

  1. Hämta Dataverse miljö-ID.
    1. Logga in på administratörscenter för Power Platform.
    2. Välj Miljöer för att öppna din miljö.
    3. I avsnittet Information, kopiera miljö-ID.
    4. För att länka Dataverse-miljön kör du detta PowerShell-skript: ./NewIdentity.ps1
    5. Tillhandahåll Dataverse miljö-ID.
    6. Ange ResourceId.
      StatusCode = 202 anger att länken skapades korrekt.
  2. Logga in på administratörscenter för Power Platform.
  3. Markera Miljöer och öppna sedan den miljö du angav tidigare.
  4. I området Senaste åtgärder, välj Fullständig historik om du vill verifiera anslutningen för den nya identiteten.

Konfigurera nätverksåtkomst till Azure Data Lake Storage Gen2

Viktigt

Du måste ha rollen Azure Data Lake Storage Gen2 Ägare till slutföra denna uppgift.

  1. Gå till Azure-portalen.

  2. Öppna det lagringskonto som är kopplat till din Azure Synapse Link for Dataverse-profil.

  3. I det vänstra navigeringsfönstret väljer du Nätverkande. Sedan på fliken Brandväggar och virtuella nätverk väljer du följande inställningar:

    1. Aktiverat från valda virtuella nätverk och IP-adresser.
    2. Under Resursinstanser, välj Tillåt Azure-tjänster på listan över betrodda tjänster att komma åt detta lagringskonto

  4. Välj Spara.

Konfigurera nätverksåtkomst till Azure Synapse Workspace

Viktigt

Du måste ha rollen Azure Synapse-administratör för att slutföra denna uppgiften.

  1. Gå till Azure-portalen.
  2. Öppna den Azure Synapse workspace som är kopplad till din Azure Synapse Link for Dataverse-profil.
  3. I det vänstra navigeringsfönstret väljer du Nätverkande.
  4. Välj Tillåt Azure-tjänster och -resurser att komma åt den här arbetsytan.
  5. Om det skapas regler för IP-brandväggar för alla IP-intervaller tar du bort dem för att begränsa åtkomsten till det offentliga nätverket. Azure Synapse workspace nätverksinställningar
  6. Lägg till en ny IP-brandväggsregel som baseras på klientens IP-adress.
  7. Välj Spara när du är klar. Mer information: Azure Synapse Analytics regler för IP-brandväggar

Viktigt

Dataverse: Du måste ha säkerhetsrollen Dataverse systemadministratör. Dessutom måste tabeller du vill exportera via Azure Synapse Link ha egenskapen Spåra ändringar aktiverad. Mer information: Avancerad sökning

Azure Data Lake Storage Gen2: Du måste ha ett Azure Data Lake Storage Gen2-konto i samt åtkomst till rollerna Ägare och Storage Blob-datadeltagare. Ditt lagringskonto måste aktivera hierarkisk namnrymd för både den första installationen och deltasynkronisering Tillåt lagringskontonyckel för åtkomst krävs endast vid den första installationen.

Synapse workspace: Du måste ha en Synapse-arbetsyta åtkomst till rollen Synapse-administratör i Synapse Studio. Synapse-arbetsytan måste finnas i samma region som ditt Azure Data Lake Storage Gen2-konto. Lagringskontot måste läggas till som en länkad tjänst i Synapse Studio. Skapa en Synapse-arbetsyta genom att gå till Skapa en Synapse-arbetsyta.

När du skapar länken får Azure Synapse Link for Dataverse information om nyligen kopplade företagspolicyn under Dataverse-miljön och cachelagrar identitetsklientens URL för att ansluta till Azure.

  1. Logga in på Power Apps och välj din miljö.
  2. I det vänstra navigeringsfönstret, välj Azure Synapse Link och väljer + Ny länk. Om objektet inte finns i sidopanelsfönstret väljer du ... Mer och markerar sedan det objekt du vill använda.
  3. Markera Välj företagspolicy med identitet för hanterad tjänst och välj sedan Nästa.
  4. Lägg till de tabeller du vill exportera och välj sedan Spara.

Anteckning

För att göra kommandot Använd hanterad identitet tillgängligt i Power Apps måste du slutföra inställningarna ovan för att ansluta företagspolicyn till din Dataverse-miljö. Mer information: Anslut till företagspolicy till Dataverse-miljö

  1. Gå till en befintlig Synapse Link-profil från Power Apps (make.powerapps.com).
  2. Välj Använd hanterad identitet och bekräfta sedan. Använd kommandot hanterad identitet i Power Apps

Felsökning

Om du får 403 fel när länken skapas:

  • Hanterade identiteter tar extra tid att ge behörighet till en annan under den första synkroniseringen. Ge det en stund och försök igen senare.
  • Se till att den länkade lagringen inte har den befintliga Dataverse behållare(dataverse-environmentName-organizationUniqueName) från samma miljö.
  • Du kan identifiera den länkade företagspolicyn och policyArmId genom att köra PowerShell-skriptet ./GetIdentityEnterprisePolicyforEnvironment.ps1 med namnet på Azure prenumerations-ID och resursgrupp.
  • Du kan avlänka företagspolicyn genom att köra PowerShell-skriptet ./RevertIdentity.ps1 med Dataverse miljö-ID och policyArmId.
  • Du kan ta bort företagspolicyn genom att köra PowerShell-skriptet .\RemoveIdentityEnterprisePolicy.ps1 med policyArmId.

Kända begränsningar

Endast en företagspolicy kan anslutas till Dataverse-miljön samtidigt. Om du behöver skapa flera Azure Synapse Link-länkar med hanterad identitet aktiverad ska du kontrollera att alla länkade Azure-resurser finns under samma resursgrupp.

Se även

Vad är Azure Synapse Link for Dataverse?