Microsoft Graph Data Connect 疑难解答

  • 项目

Microsoft Graph 数据连接使你能够将 Microsoft 365 数据扩展到 Azure,以便创建用于分析、智能和业务流程优化的应用程序。 本文提供有关使用 Microsoft Graph Data Connect 的故障排除信息。

有关更多问题,请联系 Data Connect 团队

运行第一个管道时服务主体检查问题

如果首次运行管道时遇到问题,请验证是否已定义源链接服务的所有者,如下所示:

  • 服务主体的所有者必须是租户中的有效用户帐户,而不是其他服务主体。

  • 所有者的帐户必须具有:

    • 通过Exchange Online许可证或Office 365或 Microsoft 365 许可证中的Exchange Online计划的有效邮箱。

    • 分配Office 365或Microsoft 365 E5订阅。 除非用户没有单独的Exchange Online许可证,否则无需启用许可证中的特定服务,在这种情况下,必须启用Exchange Online计划。
      注意:此帐户不需要启用全局管理员角色。 只有通过管理中心批准请求的审批者帐户才需要这一点。

    • 由于 Data Connect 使用特权访问管理系统来生成许可请求,因此需要 E5 许可证。 有关详细信息,请参阅 与 PAM 集成特权访问管理入门

  • 如果拥有成员在租户系统中不再有效,则管道会失败此检查除非租户中的当前有效用户拥有该帐户。 如果所有权发生了更改,请确保将拥有的帐户更新为满足要求的另一个成员。

PAM 审批者问题

如果在租户中为指定的管道运行或提取批准作业时遇到问题,请验证租户中的审批者是否符合以下条件。 必须向指定的审批者授予某些特权才能成功批准作业。

  • 审批者必须是租户中的活动用户帐户,而不是其他服务主体或组。

  • 用户帐户必须具有具有Exchange Online功能和邮箱的Office 365或Microsoft 365 E5许可证。

  • 如果审批者希望通过Microsoft 365 管理中心批准作业,则需要全局管理员权限。 通过 PowerShell 脚本 批准作业时,不需要全局管理员权限。

多地理位置租户提取问题

有时,客户可能需要将其他区域添加到其管道,尤其是具有多地理位置租户的大型客户。 虽然多地理位置租户仍然可以使用 Microsoft Graph 数据连接,但请注意,当客户请求数据时,他们只能提取一个区域的数据。 客户不能使用一个管道从多个区域提取数据。 Data Connect 针对客户的租户用户的隐私和安全强制实施此规则。

使用多地理位置租户的客户提取数据时,请记住以下事项:

  • Data Connect 仅允许从租户所在的同一区域提取数据集。 例如,如果你在欧洲有一个租户 (EUR) ,但想要在 北美 (NAM) 中为用户运行管道,则只会获取 NAM 中用户的数据,因为你为 NAM 指定了管道。

  • 多地理位置租户可以通过设置特定于区域的管道为其租户提取数据。 例如,一个区域映射到该区域的一个或多个管道。

聚合多个 JSON 文件输出

合并文件:

  1. 在提取后添加新的 复制数据活动

    显示复制数据活动的 Microsoft Azure 的屏幕截图

  2. 将新活动的源设置为 (Azure 存储) 提取文件的位置,将文件格式设置为 JSON,并将 通配符文件路径 指定为路径类型。

  3. 在“ 接收器 ”选项卡上,指定要在其中创建合并文件的位置,并确保选择“ 合并文件 ”行为。

无服务器 SQL 池服务连接问题

将Azure Synapse连接到目标存储帐户时,可能会遇到类似于笔记本 Websocket 连接问题中所述的问题。 问题与 Synapse 相关,以及它如何在浏览器中设置 Websocket 以检索客户 Internet 代理上默认阻止的数据。

可以使用 SSP 请求解决此问题: INTERNT PROXY (SWG) - EXCEPTION ON SECURITY FILTERING POLICY

使用 Azure 集成运行时添加网络 IP 地址以允许列表时出现问题

如果需要关闭目标存储帐户才能进行公共访问,则需要允许访问一组特定的 Azure 服务 IP 地址。 客户需要基于目标 Office 区域允许列出 IP。 为此:

  1. 查找 Office 到 Azure 区域映射。 若要查找要从中提取用户数据的 Office 区域,请参阅下表。

注意

正在运行管道的 Azure 区域必须映射到 Office 区域才能提取租户的用户。 Microsoft Graph Data Connect 不会跨区域提取数据。 例如,如果在西欧 Azure 区域中运行管道,则它仅提取欧洲 (EUR) Office 区域的用户,因为西欧 Azure 区域映射到欧洲 Office 区域。

  1. 找到 Office 到 Azure 的映射后,需要确定目标存储帐户的兼容位置 (请参阅下表) 。 可以查找如何配置 Azure 存储帐户并从 Internet IP 范围授予访问权限

注意

这表示当目标存储 关闭以便进行公共访问时,每个区域的 Azure 区域可能不会用于目标存储。 这也是需要将 IP 地址添加到允许列表以允许数据传递的区域。 若要查找 IP 范围,请参阅 Azure IP 范围和服务标记

有关此目标存储区域限制的详细信息,请参阅:

 

Office 区域 Azure 区域 要使用的备用 Azure 区域
亚太地区
  • 东亚
  • 东南亚*
 不适用
澳大利亚
  • 澳大利亚东部
  • 澳大利亚东南部*
 不适用
欧洲
  • 北欧
  • 西欧*
 不适用
北美
  • 美国中部
  • 美国东部*
  • 美国东部 2
  • 美国中北部
  • 美国中南部
  • 美国中西部
  • 美国西部
  • 美国西部 2
 不适用
英国
  • 英国南部*
  • 英国西部
 不适用
加拿大 (CAN)
  • 加拿大中部
  • 加拿大东部*
 不适用
日本 (JPN)
  • 日本西部
  • 日本东部*
 不适用
印度 (IND)
  • 印度南部*
  • 印度中部
 不适用
韩国 (KOR)
  • 韩国中部
  • 韩国韩国
 不适用
瑞士 (CHE)
  • 瑞士北部
  • 北欧
  • 西欧
德国 (DEU)
  • 德国中西部*
  • 北欧
  • 西欧
挪威 (NOR)
  • 挪威东部*
  • 北欧
  • 西欧
法国 (FRA)
  • 法国中部*
  • 北欧
  • 西欧
阿联酋 (阿联酋)
  • 阿联酋北部*
  • 东亚
  • 东南亚

注意

  • 此时,客户可以了解并配置他们希望从 (其 Office 到 Azure 区域映射) 的区域。
  • 客户可以了解其目标存储帐户不能位于哪个区域。
  • 基于兼容的目标存储帐户,客户可以使用这些信息来了解需要添加到允许列表的 IP 地址。

  1. 可以在已添加到允许列表的同一区域上创建新的集成运行时,也可以使用自动解析,具体取决于你的首选项和设置。 建议在同一区域中创建新的 IR。 有关详细信息,请参阅 Azure Integration Runtime IP 地址:特定区域

    • 如果使用自动解析 IR,则该区域取决于多个因素。 有关详细信息,请参阅 Azure IR 位置

网络访问和 Azure IR 示例

以下示例介绍如何排查网络访问问题:

  1. 用户想要为欧洲 (EUR) Office 区域中的用户提取数据。 标识其 Office 到 Azure 区域映射。 由于 Office 区域为 EUR,因此 Azure 区域位于西欧。

  2. 所有资源、ADF 和存储帐户最初都位于西欧 Azure 区域。

  3. 用户关闭了目标存储帐户以供公共访问。

  4. 用户需要根据我想要提取 (EUR) 的 Office 区域确定其兼容目标存储帐户的位置。

  5. 由于它们无法在存储帐户所在的同一区域中添加允许列表服务,因此目标存储帐户不能位于西欧 Azure 区域。 他们可以在北欧创建新的存储帐户。

  6. 对于将数据复制到目标存储帐户的数据连接内部服务,它们需要根据其 Office 区域 () 从兼容区域将 IP 地址添加到允许列表。 他们需要将 ADF 公共 IP 添加到西欧 Azure 区域的允许列表。

  7. ADF 目标链接服务若要访问目标存储帐户,他们需要在西欧区域创建和使用Integration Runtime,或者改用自动解析 IR。

  8. 用户列出这些 IP 地址,并将目标存储移动到北欧,因为 Office 区域是 EUR,Azure 区域是西欧。

使用映射数据流运行管道时出现问题

新数据集的 Microsoft Graph 数据连接首次运行和映射数据流活动预期会失败并出现 Consent Pending 错误。 这会触发租户管理员的同意请求,该管理员可以使用 Privileged Access Management 查看和批准/拒绝数据访问请求。 若要解决该问题:

  1. 同意请求仅在 24 小时内有效。 请与租户管理员联系,以在此时间范围内进行审批。

    a. 如果未在该时间范围内获得批准,后续运行将失败并出现相同的错误,并重新生成同意请求。

    b. 获得批准后,可以随时重新运行管道以检索数据。

    显示首次运行 Microsoft Graph Data Connect 和映射数据流时的错误的图像

  2. 验证是否已正确设置目标存储,以允许应用将数据写入其中。

应用注册问题

以下方案提供了有关向 Microsoft Graph Data Connect 注册 Microsoft Entra 应用的故障排除信息。

无授权

Azure 门户的 Microsoft Graph Data Connect 体验中,创建或更新 Microsoft Fabric 应用注册时,系统会尝试创建 Microsoft.GraphServices 类型的资源以进行计费。

显示创建计费资源期间遇到的错误的屏幕截图。

上图指示你没有注册 Microsoft.GraphServices 资源提供程序,也没有在所选订阅中注册它的权限。 需要请求订阅管理员注册此资源提供程序。 有关详细信息,请参阅 Azure 资源提供程序和类型 以及 启用 Microsoft Graph 中的按流量计费的 API 和服务。 下图显示了已注册的 Microsoft.GraphServices 资源提供程序。

显示应注册的 Microsoft.GraphServices 资源提供程序的屏幕截图。

订阅管理员还可以使用以下 Azure CLI 命令创建所需的提供程序和资源。

注册资源提供程序:

az provider register --namespace 'Microsoft.GraphServices'

为应用创建计费资源:

az resource create --resource-group <resource_group_name> --name mgdc-<app_id> --resource-type Microsoft.GraphServices/accounts --properties  "{`"appId`": `"<app_id>`"}" --location Global --subscription <subscription_id>

已使用高级

以下错误消息指示已为应用手动创建具有不同名称的 Microsoft.GraphServices 类型资源。 此资源用于计费目的,无需执行进一步操作。

显示已存在的计费资源的错误的屏幕截图。

相关内容