Chia sẻ qua

Sử dụng danh tính được quản lý cho Azure với bộ lưu trữ hồ dữ liệu Azure của bạn

  • Bài viết

Azure Data Lake Storage cung cấp một mô hình bảo mật nhiều lớp. Mô hình này cho phép bạn bảo mật và kiểm soát mức độ truy cập vào tài khoản lưu trữ mà ứng dụng và môi trường doanh nghiệp của bạn yêu cầu, dựa trên loại và tập hợp con của mạng hoặc tài nguyên được sử dụng. Khi các quy tắc mạng được định cấu hình, chỉ những ứng dụng yêu cầu dữ liệu qua nhóm mạng được chỉ định hoặc thông qua nhóm tài nguyên Azure đã chỉ định mới có thể truy cập vào tài khoản lưu trữ. Bạn có thể giới hạn quyền truy cập vào tài khoản lưu trữ của mình đối với các yêu cầu bắt nguồn từ các địa chỉ IP, dải IP, mạng con được chỉ định trong Mạng ảo Azure (VNet) hoặc phiên bản tài nguyên của một số dịch vụ Azure.

Danh tính được quản lý dành cho Azure, trước đây gọi là Nhận dạng dịch vụ được quản lý (MSI), giúp quản lý bí mật. Microsoft Dataverse khách hàng sử dụng khả năng của Azure tạo danh tính được quản lý (một phần trong quá trình tạo chính sách doanh nghiệp) có thể được sử dụng cho một hoặc nhiều Dataverse môi trường. Danh tính được quản lý này sẽ được cung cấp trong đối tượng thuê của bạn sau đó sẽ được Dataverse sử dụng để truy cập vào hồ dữ liệu Azure của bạn.

Với danh tính được quản lý, quyền truy cập vào tài khoản lưu trữ của bạn bị hạn chế đối với các yêu cầu bắt nguồn từ môi trường Dataverse được liên kết với đối tượng thuê của bạn. Khi Dataverse kết nối với bộ lưu trữ thay mặt bạn, nó sẽ bao gồm thông tin ngữ cảnh bổ sung để chứng minh rằng yêu cầu bắt nguồn từ một môi trường an toàn, đáng tin cậy. Điều này cho phép bộ nhớ cấp Dataverse quyền truy cập vào tài khoản bộ nhớ của bạn. Danh tính được quản lý được sử dụng để ký thông tin ngữ cảnh nhằm thiết lập sự tin cậy. Điều này bổ sung bảo mật cấp ứng dụng bên cạnh bảo mật mạng và cơ sở hạ tầng do Azure cung cấp cho các kết nối giữa các dịch vụ Azure.

Trước khi bắt đầu

  • Cần có Azure CLI trên máy cục bộ của bạn. Tải xuống và cài đặt
  • Bạn cần hai mô-đun PowerShell này. Nếu bạn không có chúng, hãy mở PowerShell và chạy các lệnh sau:
    • Mô-đun Azure Az PowerShell: Install-Module -Name Az
    • Mô-đun PowerShell Azure Az.Resources: Install-Module -Name Az.Resources
    • Power Platform mô-đun PowerShell của quản trị viên: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Đi tới tệp thư mục nén này trên GitHub. Sau đó chọn Tải xuống để tải xuống. Giải nén tệp thư mục nén vào máy tính ở vị trí mà bạn có thể chạy các lệnh PowerShell. Tất cả các tệp và thư mục được trích xuất từ ​​​​thư mục nén phải được giữ nguyên ở vị trí ban đầu.
  • Chúng tôi khuyên bạn nên tạo vùng lưu trữ mới trong cùng một nhóm tài nguyên Azure để tích hợp tính năng này.

Kích hoạt chính sách doanh nghiệp cho đăng ký Azure đã chọn

Quan trọng

Bạn phải có Quyền truy cập vai trò Chủ sở hữu đăng ký Azure để hoàn thành nhiệm vụ này. Lấy Azure ID đăng ký của bạn từ trang tổng quan cho nhóm tài nguyên Azure.

  1. Mở Azure CLI với quyền chạy với tư cách quản trị viên và đăng nhập vào đăng ký Azure của bạn bằng lệnh: az login Thông tin thêm: đăng nhập bằng Azure CLI
  2. (Tùy chọn) nếu bạn có nhiều đăng ký Azure, hãy đảm bảo chạy Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } để cập nhật đăng ký mặc định của bạn.
  3. Mở rộng thư mục nén mà bạn đã tải xuống như một phần của Trước khi bắt đầu cho tính năng này đến vị trí nơi bạn có thể chạy PowerShell.
  4. Để bật chính sách doanh nghiệp cho đăng ký Azure đã chọn, hãy chạy tập lệnh PowerShell ./SetupSubscriptionForPowerPlatform.ps1.
    • Cung cấp ID đăng ký Azure.

Tạo chính sách doanh nghiệp

Quan trọng

Bạn phải có vai trò Chủ sở hữu nhóm tài nguyên Azure để hoàn thành nhiệm vụ này. Lấy Azure ID đăng ký, Vị tríNhóm tài nguyên name, từ trang tổng quan về nhóm tài nguyên Azure.

  1. Tạo chính sách doanh nghiệp. Chạy tập lệnh PowerShell ./CreateIdentityEnterprisePolicy.ps1

    • Cung cấp ID đăng ký Azure.
    • Cung cấp tên nhóm tài nguyên Azure.
    • Cung cấp tên chính sách doanh nghiệp ưa thích.
    • Cung cấp vị trí nhóm tài nguyên Azure.

  2. Lưu bản sao của ResourceId sau khi tạo chính sách.

Lưu ý

Sau đây là các thông tin đầu vào vị trí hợp lệ được hỗ trợ để tạo chính sách. Hãy chọn vị trí phù hợp nhất với bạn.

Địa điểm có sẵn cho chính sách doanh nghiệp

Hoa Kỳ EUAP

Hoa Kỳ

Nam Phi

Vương quốc Anh

Úc

Hàn Quốc

Nhật Bản

Ấn Độ

Pháp

Châu Âu

Châu Á

Na-uy

Đức

Thụy Sĩ

Ca-na-đa

Bra-xin

UAE

Singapore

Cấp cho người đọc quyền truy cập vào chính sách doanh nghiệp thông qua Azure

Quản trị viên toàn cầu Azure, quản trị viên Dynamics 365 và Power Platform quản trị viên có thể truy cập Power Platform trung tâm quản trị để chỉ định môi trường cho chính sách doanh nghiệp. Để truy cập các chính sách doanh nghiệp, quản trị viên toàn cầu hoặc Azure Key vault phải cấp vai trò Người đọc cho quản trị viên Dynamics 365 hoặc Power Platform . Sau khi vai trò người đọc được cấp, quản trị viên Dynamics 365 hoặc Power Platform sẽ thấy các chính sách doanh nghiệp trên Power Platform trung tâm quản trị.

Chỉ quản trị viên Dynamics 365 và Power Platform được cấp vai trò người đọc đối với chính sách doanh nghiệp mới có thể 'thêm môi trường' vào chính sách. Các quản trị viên Dynamics 365 và PowerPlatform khác có thể xem chính sách doanh nghiệp nhưng họ sẽ gặp lỗi khi cố gắng thêm môi trường.

Quan trọng

Bạn phải có - Microsoft.Authorization/roleAssignments/write quyền, chẳng hạn như Quản trị viên truy cập người dùng hoặc Chủ sở hữu để hoàn tất nhiệm vụ này.

  1. đăng nhập vào Cổng Azure.
  2. Lấy Dynamics 365 Power Platform quản trị viên ObjectID của người dùng quản trị.
    1. Đi tới khu vực Người dùng .
    2. Mở người dùng quản trị viên Dynamics 365 hoặc Power Platform .
    3. Trong trang tổng quan dành cho người dùng, hãy sao chép ObjectID.
  3. Lấy ID chính sách doanh nghiệp:
    1. Đi tới Azure Trình khám phá biểu đồ tài nguyên.
    2. Chạy truy vấn này: resources | where type == 'microsoft.powerplatform/enterprisepolicies' Chạy truy vấn từ Azure Resource Graph Explorer
    3. Cuộn sang bên phải trang kết quả và chọn liên kết Xem chi tiết .
    4. Trên trang Chi tiết, sao chép ID.
  4. Mở Azure CLI và chạy lệnh sau, thay thế <objId> bằng ObjectID của người dùng và <EP Resource Id> bằng ID chính sách doanh nghiệp.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Kết nối chính sách doanh nghiệp với Dataverse môi trường

Quan trọng

Bạn phải có vai trò Power Platform quản trị viên hoặc quản trị viên Dynamics 365 để hoàn thành nhiệm vụ này. Bạn phải có vai trò Người đọc đối với chính sách doanh nghiệp để hoàn thành nhiệm vụ này.

  1. Lấy Dataverse ID môi trường.
    1. Đăng nhập vào Trung tâm quản trị Power Platform.
    2. Chọn Môi trường rồi mở môi trường của bạn.
    3. Trong phần Chi tiết, sao chép ID môi trường.
    4. Để liên kết với môi trường Dataverse , hãy chạy tập lệnh PowerShell này: ./NewIdentity.ps1
    5. Cung cấp Dataverse ID môi trường.
    6. Cung cấp ResourceId.
      StatusCode = 202 cho biết liên kết đã được tạo thành công.
  2. Đăng nhập vào Trung tâm quản trị Power Platform.
  3. Chọn Môi trường, sau đó mở môi trường bạn đã chỉ định trước đó.
  4. Trong khu vực Hoạt động gần đây, hãy chọn Toàn bộ lịch sử để xác thực kết nối danh tính mới.

Định cấu hình quyền truy cập mạng vào Azure Data Lake Storage Gen2

Quan trọng

Bạn phải có vai trò Azure Data Lake Storage Gen2 Chủ sở hữu để hoàn thành nhiệm vụ này.

  1. Đi tới Cổng Azure.

  2. Mở tài khoản lưu trữ được kết nối với hồ sơ Azure Synapse Link for Dataverse của bạn.

  3. Trên ngăn điều hướng bên trái, chọn Kết nối mạng. Sau đó, trên tab Tường lửa và mạng ảo chọn các cài đặt sau:

    1. Được kích hoạt từ các mạng ảo và địa chỉ IP đã chọn.
    2. Trong Phiên bản tài nguyên, chọn Cho phép các dịch vụ Azure trên danh sách dịch vụ đáng tin cậy truy cập vào tài khoản lưu trữ này

  4. Chọn Lưu.

Định cấu hình quyền truy cập mạng vào Azure Synapse Không gian làm việc

Quan trọng

Bạn phải có vai trò quản trị viên Azure Synapse để hoàn thành nhiệm vụ này.

  1. Đi tới Cổng Azure.
  2. Mở Azure Synapse không gian làm việc được kết nối với hồ sơ Azure Synapse Link for Dataverse của bạn.
  3. Trên ngăn điều hướng bên trái, chọn Kết nối mạng.
  4. Chọn Cho phép các dịch vụ và tài nguyên Azure truy cập vào không gian làm việc này.
  5. Nếu có quy tắc tường lửa IP được tạo cho tất cả dải IP, hãy xóa chúng để hạn chế quyền truy cập mạng công cộng. Azure Synapse cài đặt mạng không gian làm việc
  6. Thêm quy tắc tường lửa IP mới dựa trên địa chỉ IP của máy khách.
  7. Chọn Lưu khi hoàn tất. Thông tin thêm: Azure Synapse Analytics Quy tắc tường lửa IP

Quan trọng

Dataverse: Bạn phải có Dataverse quản trị viên hệ thống vai trò bảo mật. Ngoài ra, các bảng bạn muốn xuất qua Azure Synapse Link phải bật thuộc tính Theo dõi các thay đổi . Thông tin thêm: Tùy chọn nâng cao

Azure Data Lake Storage Gen2: Bạn phải có tài khoản Azure Data Lake Storage Gen2 và quyền truy nhập theo vai trò là Chủ sở hữuNgười đóng góp dữ liệu blob lưu trữ. Tài khoản lưu trữ của bạn phải bật Vùng chứa tên phân cấp cho cả thiết lập ban đầu và đồng bộ hóa delta. Bắt buộc phải cho phép truy cập khóa tài khoản lưu trữ chỉ dành cho thiết lập ban đầu.

Không gian làm việc Synapse: Bạn phải có một không gian làm việc Synapse và quyền truy nhập theo vai trò là Quản trị viên Synapse trong Synapse Studio. Không gian làm việc Synapse phải ở cùng khu vực với tài khoản Azure Data Lake Storage Gen2 của bạn. Tài khoản lưu trữ phải được thêm vào dưới dạng dịch vụ được liên kết trong Synapse Studio. Để tạo không gian làm việc Synapse, hãy xem bài viết Tạo không gian làm việc Synapse.

Khi bạn tạo liên kết, Azure Synapse Link for Dataverse sẽ nhận được thông tin chi tiết về chính sách doanh nghiệp hiện được liên kết trong môi trường Dataverse sau đó lưu URL bí mật của ứng dụng nhận dạng vào bộ nhớ đệm để kết nối với Azure.

  1. đăng nhập vào Power Apps và chọn môi trường của bạn.
  2. Trên ngăn điều hướng bên trái, hãy chọn Azure Synapse Link rồi chọn + Liên kết mới. Nếu không thấy mục này trong ngăn bảng điều khiển bên, hãy chọn …Thêm rồi chọn mục bạn muốn.
  3. Chọn Chọn Chính sách doanh nghiệp với Nhận dạng dịch vụ được quản lý, sau đó chọn Tiếp theo.
  4. Thêm các bảng bạn muốn xuất rồi chọn Lưu.

Lưu ý

Để cung cấp lệnh Sử dụng danh tính được quản lý trong Power Apps, bạn cần hoàn tất quá trình thiết lập ở trên để kết nối chính sách doanh nghiệp với Dataverse môi trường. Thông tin thêm: Kết nối chính sách doanh nghiệp với Dataverse môi trường

  1. Chuyển đến hồ sơ Liên kết Synapse hiện có từ Power Apps (make.powerapps.com).
  2. Chọn Sử dụng danh tính được quản lý rồi xác nhận. Sử dụng lệnh nhận dạng được quản lý trong Power Apps

Gỡ rối

Nếu bạn gặp lỗi 403 trong quá trình tạo liên kết:

  • Danh tính được quản lý sẽ mất thêm thời gian để cấp quyền tạm thời trong quá trình đồng bộ hóa lần đầu. Hãy chờ một thời gian và thử lại thao tác này sau.
  • Đảm bảo bộ lưu trữ được liên kết không có Dataverse container(dataverse-environmentName- OrganisationUniqueName) hiện có từ cùng một môi trường.
  • Bạn có thể xác định chính sách doanh nghiệp được liên kết và policyArmId bằng cách chạy tập lệnh PowerShell ./GetIdentityEnterprisePolicyforEnvironment.ps1 với Azure ID đăng kýTên nhóm tài nguyên .
  • Bạn có thể hủy liên kết chính sách doanh nghiệp bằng cách chạy tập lệnh PowerShell ./RevertIdentity.ps1 với Dataverse ID môi trường và policyArmId.
  • Bạn có thể xóa chính sách doanh nghiệp bằng cách chạy tập lệnh PowerShell .\RemoveIdentityEnterprisePolicy.ps1 với PolicyArmId.

Giới hạn đã biết

Chỉ một chính sách doanh nghiệp có thể kết nối đồng thời với môi trường Dataverse . Nếu bạn cần tạo nhiều Azure Synapse Link liên kết đã bật danh tính được quản lý, hãy đảm bảo tất cả tài nguyên Azure được liên kết đều thuộc cùng một nhóm tài nguyên.

Xem thêm

Azure Synapse Link for Dataverse là gì?