排查Microsoft Graph 数据连接问题
Microsoft Graph Data Connect (Data Connect) ,可将Microsoft 365 数据扩展到 Azure,以便创建用于分析、智能和业务流程优化的应用程序。 本文提供有关使用 Data Connect 的故障排除信息。
在 Azure 门户体验中查找应用程序时出现的问题
如果在 Data Connect Azure 门户体验中找不到应用程序,请验证是否Microsoft Entra 应用程序所有权,因为更新和删除 Data Connect 的应用注册需要它。
审批应用程序时出现问题
若要在 Microsoft 365 管理中心批准应用程序,用户必须是全局管理员。不需要 E5 许可证。
续订应用程序同意
可以在到期日期之前续订应用授权。 全局管理员可以单击已同意的应用程序,然后再次批准它以延长同意有效期。
多地理位置租户提取问题
有时,客户可能需要将其他区域添加到其管道,尤其是具有多地理位置租户的大型客户。 虽然多地理位置租户仍然可以使用 Data Connect,但请注意,当客户请求数据时,他们只能提取一个区域的数据。 客户不能使用一个管道从多个区域提取数据。 Data Connect 针对客户的租户用户的隐私和安全强制实施此规则。
使用多地理位置租户的客户提取数据时,请记住以下事项:
Data Connect 仅允许从租户所在的同一区域提取数据集。 例如,如果在欧洲有一个租户 (EUR) ,但想要为北美的用户运行管道 (NAM) ,则只会获取 NAM 中用户的数据,因为你为 NAM 指定了管道。
多地理位置租户可以通过设置特定于区域的管道为其租户提取数据。 例如,一个区域映射到该区域的一个或多个管道。
聚合多个 JSON 文件输出
合并文件:
在提取后添加新的 复制数据活动 。
将新活动的源设置为 (Azure 存储) 提取文件的位置,将文件格式设置为 JSON,并将 通配符文件路径 指定为路径类型。
在“ 接收器 ”选项卡上,指定要在其中创建合并文件的位置,并确保选择“ 合并文件 ”行为。
无服务器 SQL 池服务连接问题
将 Azure Synapse 连接到目标存储帐户时,可能会遇到类似于 笔记本 Websocket 连接问题中所述的问题。 问题与 Synapse 相关,以及它如何在浏览器中设置 Websocket 以检索客户 Internet 代理上默认阻止的数据。
可以使用 SSP 请求解决此问题: INTERNT PROXY (SWG) - EXCEPTION ON SECURITY FILTERING POLICY。
使用 Azure 集成运行时添加网络 IP 地址以允许列表时出现问题
如果需要关闭目标存储帐户才能进行公共访问,则需要允许访问一组特定的 Azure 服务 IP 地址。 客户需要基于目标 Office 区域允许列出 IP。 为此:
- 查找 Office 到 Azure 区域映射。 若要查找要从中提取用户数据的 Office 区域,请参阅下表。
注意
正在运行管道的 Azure 区域必须映射到 Office 区域才能提取租户的用户。 Data Connect 不会跨区域提取数据。 例如,如果在西欧 Azure 区域中运行管道,则它仅提取欧洲 (EUR) Office 区域的用户,因为西欧 Azure 区域映射到欧洲 Office 区域。
- 找到 Office 到 Azure 的映射后,需要确定目标存储帐户的兼容位置 (请参阅下表) 。 可以查找如何配置 Azure 存储帐户并从 Internet IP 范围授予访问权限。
注意
这表示当目标存储 关闭以便进行公共访问时,每个区域的 Azure 区域可能不会用于目标存储。 这也是需要将 IP 地址添加到允许列表以允许数据传递的区域。 若要查找 IP 范围,请参阅 Azure IP 范围和服务标记。
有关此目标存储区域限制的详细信息,请参阅:
| Office 区域 | Azure 区域 | 要使用的备用 Azure 区域 |
|---|---|---|
| 亚太地区 |
|
不适用 |
| 澳大利亚 |
|
不适用 |
| 欧洲 |
|
不适用 |
| 北美 |
|
不适用 |
| 英国 |
|
不适用 |
| 加拿大 (CAN) |
|
不适用 |
| 日本 (JPN) |
|
不适用 |
| 印度 (IND) |
|
不适用 |
| 韩国 (KOR) |
|
不适用 |
| 瑞士 (CHE) |
|
|
| 德国 (DEU) |
|
|
| 挪威 (NOR) |
|
|
| 法国 (FRA) |
|
|
| 阿联酋 (阿联酋) |
|
|
注意
- 此时,客户可以了解并配置他们希望从 (其 Office 到 Azure 区域映射) 的区域。
- 客户可以了解其目标存储帐户不能位于哪个区域。
- 基于兼容的目标存储帐户,客户可以使用这些信息来了解需要添加到允许列表的 IP 地址。
可以在已添加到允许列表的同一区域上创建新的集成运行时,也可以使用自动解析,具体取决于你的首选项和设置。 建议在同一区域中创建新的 IR。 有关详细信息,请参阅 Azure Integration Runtime IP 地址:特定区域。
- 如果使用自动解析 IR,则该区域取决于多个因素。 有关详细信息,请参阅 Azure IR 位置。
网络访问和 Azure IR 示例
以下示例介绍如何排查网络访问问题:
用户想要为欧洲 (EUR) Office 区域中的用户提取数据。 标识其 Office 到 Azure 区域映射。 由于 Office 区域为 EUR,因此 Azure 区域位于西欧。
所有资源、ADF 和存储帐户最初都位于西欧 Azure 区域。
用户关闭了目标存储帐户以供公共访问。
用户需要根据我想要提取 (EUR) 的 Office 区域确定其兼容目标存储帐户的位置。
由于它们无法在存储帐户所在的同一区域中添加允许列表服务,因此目标存储帐户不能位于西欧 Azure 区域。 他们可以在北欧创建新的存储帐户。
对于将数据复制到目标存储帐户的数据连接内部服务,它们需要根据其 Office 区域 () 从兼容区域将 IP 地址添加到允许列表。 他们需要将 ADF 公共 IP 添加到西欧 Azure 区域的允许列表。
ADF 目标链接服务若要访问目标存储帐户,需要在西欧区域创建并使用 Integration Runtime,或者改用自动解析 IR。
用户列出这些 IP 地址,并将目标存储移动到北欧,因为 Office 区域是 EUR,Azure 区域是西欧。
应用注册问题
以下方案提供向 Data Connect 注册 Microsoft Entra 应用的故障排除信息。
无授权
在 Azure 门户的 Data Connect 体验中,创建或更新 Microsoft Fabric 应用注册时,系统会尝试创建 类型为 Microsoft.GraphServices 的资源以进行计费。
注意
自 2024 年 1 月 31 日起,现已为 Fabric 上的所有 Microsoft Graph Data Connect 管道启用计费。 在 Azure 门户中的 Microsoft Graph Data Connect 体验中 更新应用程序,以便将其与 Fabric 配合使用。
上图指示未注册 Microsoft.GraphServices 资源提供程序,也没有在所选订阅中注册它的权限。 需要请求订阅管理员注册此资源提供程序。 有关详细信息,请参阅 Azure 资源提供程序和类型 和 在 Microsoft Graph 中启用按流量计费的 API 和服务。 下图显示了已注册 的 Microsoft.GraphServices 资源提供程序。
订阅管理员还可以使用以下 Azure CLI 命令创建所需的提供程序和资源。
注册资源提供程序:
az provider register --namespace 'Microsoft.GraphServices'
为应用创建计费资源:
az resource create --resource-group <resource_group_name> --name mgdc-<app_id> --resource-type Microsoft.GraphServices/accounts --properties "{`"appId`": `"<app_id>`"}" --location Global --subscription <subscription_id>
已使用高级
以下错误消息指示已为应用手动创建了具有不同名称的 Microsoft.GraphServices 类型资源。 此资源用于计费目的,无需执行进一步操作。
