通过

引入您自己的 Azure 密钥保管库(预览)

  • 项目

[本文为预发布文档,可能会发生变化。]

备注

Azure Active Directory 现已更名为 Microsoft Entra ID。 了解更多

将专用的 Azure 密钥保管库链接到 Dynamics 365 Customer Insights - Data 环境可帮助组织满足合规要求。

将密钥保管库链接到 Customer Insights - Data 环境

设置专用密钥保管库以在组织的合规边界内暂存和使用机密。

先决条件

  • 一个有效的 Azure 订阅。

  • 在 Customer Insights - Data 中分配管理员角色。

  • 密钥保管库或密钥保管库所属的资源组的参与者用户访问管理员角色。 有关详细信息,请转到使用 Azure 门户添加或删除 Azure 角色分配。 如果您没有密钥保管库的用户访问管理员角色,单独为 Customer Insights - Data 的 Microsoft Entra 服务主体设置基于角色的访问控制权限。 请按照步骤为应链接的密钥保管库使用 Microsoft Entra 服务主体

  • 密钥保管库必须禁用密钥保管库防火墙。

  • 密钥保管库与 Customer Insights - Data 环境位于同一 Azure 位置。 在 Customer Insights - Data 中,转到设置>系统关于选项卡查看环境的区域。

建议

  1. 转到设置>权限,然后选择密钥保管库选项卡。
  2. 密钥保管库磁贴上,选择设置
  3. 选择订阅
  4. 密钥保管库下拉列表中选择一个密钥保管库。 如果有太多密钥保管库,选择一个资源组来限制搜索结果。
  5. 查看数据隐私和合规性,并选择我同意
  6. 选择保存

密钥保管库磁贴将显示链接的密钥保管库名称、订阅和资源组。 它已经可以在连接设置中使用。 有关将密钥保管库的哪些权限授予系统的详细信息,请转到授予的对密钥保管库的权限

在连接设置中使用密钥保管库

设置支持的第三方系统的连接时,使用来自链接的密钥保管库的密钥配置连接。

  1. 转到设置>连接

  2. 选择添加连接

  3. 对于支持的连接类型,如果您链接了密钥保管库,使用密钥保管库切换将可用。

  4. 选择指向密钥保管库中的密钥值的密钥名称,而不要手动输入密钥。

    带有使用密钥保管库密钥的 SFTP 连接的连接窗格。

  5. 选择保存创建连接。

支持的连接类型

支持以下导出连接:

授予的对密钥保管库的权限

如果启用了密钥保管库访问策略 Azure 基于角色的访问控制,将会向 Customer Insights - Data 授予对链接的密钥保管库的以下权限。

密钥保管库访问策略

Type 权限
获取密钥获取密钥
机密 获取密钥获取密钥
证书 获取证书获取证书

前面的值是在执行期间列出和读取的最小值。

Azure 基于角色的访问控制

将针对 Customer Insights - Data 添加密钥保管库读者和密钥保管库密钥用户角色

常见问题

Customer Insights - Data 是否可以将密钥写入密钥保管库或覆盖其中的密钥?

不需要。 只有授予权限中所概述的读取和列出权限会被授予。 系统无法在密钥保管库中添加、删除或覆盖密钥。 这也是在连接使用密钥保管库时无法输入凭据的原因。

我能否将连接从使用密钥保管库密钥更改为使用默认身份验证?

否。 在使用链接的密钥保管库中的密钥配置默认连接后,您无法改回默认连接。 可以创建一个单独的连接,如果不再需要旧连接,应将其删除。

如何撤销 Customer Insights - Data 对密钥保管库的访问权限?

如果启用了密钥保管库访问策略Azure 基于角色的访问控制,删除名为 Dynamics 365 AI for Customer Insights 的服务主体 0bfc4568-a4ba-4c58-bd3e-5d3e76bd7fff 的权限。 使用密钥保管库的所有连接将停止工作。

连接中使用的密钥将被从密钥保管库中删除。 我该怎么做?

当无法再访问密钥保管库中配置的密钥时,会在 Customer Insights - Data 中显示通知。 在密钥保管库上启用软删除以在意外删除密钥时进行恢复。

连接不起作用,但我的秘密在密钥保管库中。 这可能是什么原因?

当无法访问密钥保管库时,会在 Customer Insights - Data 中显示通知。 原因可能是:

  • 服务主体的权限被删除。 它们需要手动恢复。

  • 密钥保管库中的防火墙启用。 必须禁用防火墙才能恢复系统对密钥保管库的访问。