使用 Microsoft Entra 服務主體連線至 Azure Data Lake Storage 帳戶

文章
07/12/2024

注意

Azure Active Directory 現在改為 Microsoft Entra ID。了解詳細資訊

Dynamics 365 Customer Insights - Data 提供可使用 Microsoft Entra 服務主體連接至 Azure Data Lake Storage 帳戶的選項。

使用 Azure 服務的自動化工具，其權限必須受限制。有別於以完整權限使用者身分登入應用程式的作法，Azure 提供服務主體。使用服務主體，安全地將 Common Data Model 資料夾新增或編輯成資料來源或是建立或更新環境。

先決條件

Data Lake Storage 帳戶必須已啟用階層命名空間。
Azure 租用戶的管理員權限 (如果您需要建立服務主體的話)。

建立 Customer Insights 的 Microsoft Entra 服務主體

在建立 Customer Insights 的新服務主體之前，請檢查它是否已存在於組織中。在大多數情況下，已經存在。

尋找現有的服務主體

請前往 Azure 管理員入口網站登入貴組織。
在 Azure 服務，選擇 Microsoft Entra。
在管理底下，選取 Microsoft 應用程式。
新增應用程式識別碼起始為 0bfc4568-a4ba-4c58-bd3e-5d3e76bd7fff 的篩選或搜尋名稱 Dynamics 365 AI for Customer Insights。
如果您發現相符的記錄，表示服務主體已存在。授與權限，讓服務主體可以存取儲存體帳戶。
如果未傳回任何結果，請建立新的服務主體。

建立全新服務主體

安裝適用於 Graph Power 的 Microsoft Entra 識別碼 PowerShell 最新版本。如需詳細資訊，請移至安裝適用於 Graph 的 Microsoft Entra 識別碼 PowerShell。
1. 在您的電腦上，按鍵盤上的 Windows 鍵，然後搜尋 Windows PowerShell，並選取以系統管理員身分執行。
2. 請在打開的 PowerShell 視窗中輸入 Install-Module AzureAD。
使用 Microsoft Entra 識別碼 PowerShell 模組建立服務主體。
1. 請在 PowerShell 視窗中輸入 Connect-AzureAD -TenantId "[your Directory ID]" -AzureEnvironmentName Azure。使用您想要在其中建立服務主體的 Azure 訂閱，其實際目錄識別碼取代 [您的目錄識別碼]。環境名稱參數，AzureEnvironmentName，是選用的。
2. 輸入 New-AzureADServicePrincipal -AppId "0bfc4568-a4ba-4c58-bd3e-5d3e76bd7fff" -DisplayName "Dynamics 365 AI for Customer Insights"。此命令會在選取的 Azure 訂閱上建立服務主體。

將權限授與服務主體以存取儲存體帳戶

若要對服務主體授與您要在 Customer Insights - Data 中使用儲存體帳戶權限，必須將下列其中一個角色指派給儲存體帳戶或容器：

認證	需求
目前登入使用者	使用 Azure 訂閱選項連接至 Azure Data Lake 時：角色：儲存體 Blob 資料讀者、儲存體 blob 參與者或儲存體 Blob 擁有者。等級：在儲存體帳戶或容器上授與的權限。使用 Azure 資源選項連接至 Azure Data Lake 時：角色：Microsoft.Storage/storageAccounts/讀取動作等級：在儲存體帳戶上授與的權限和角色：儲存體 Blob 資料讀者、儲存體 blob 參與者或儲存體 Blob 擁有者。等級：在儲存體帳戶或容器上授與的權限。「儲存體 Blob 資料讀者」角色足以讀取儲存體帳戶，並將資料內嵌至 Customer Insights – Data。不過，必須有儲存體 Blob 資料參與者或擁有者角色，才能在資料連接體驗中編輯資訊清單檔。
Customer Insights 服務主體 - 使用 Azure Data Lake Storage 作為資料來源	選項 1 角色：儲存體 Blob 資料讀者、儲存體 Blob 資料參與者或儲存體 Blob 資料擁有者。等級：在儲存體帳戶上授與的權限。選項 2 (缺乏共用服務主體的儲存體帳戶權限) 角色 1：儲存體 Blob 資料讀者、儲存體 blob 資料參與者或儲存體 Blob 資料擁有者。等級：在容器上授與的權限。角色 2：儲存體 Blob 資料委派者。等級：在儲存體帳戶上授與的權限。
Customer Insights 服務主體 - 使用 Azure Data Lake Storage 作為輸出或目的地	選項 1 角色：儲存體 blob 資料參與者或儲存體 Blob 擁有者。等級：在儲存體帳戶上授與的權限。選項 2 (缺乏共用服務主體的儲存體帳戶權限) 角色：儲存體 blob 資料參與者或儲存體 Blob 擁有者。等級：在容器上授與的權限。角色 2：儲存體 Blob 委派者。等級：在儲存體帳戶上授與的權限。

認證

需求

目前登入使用者

使用 Azure 訂閱選項連接至 Azure Data Lake 時：

角色：儲存體 Blob 資料讀者、儲存體 blob 參與者或儲存體 Blob 擁有者。
等級：在儲存體帳戶或容器上授與的權限。

使用 Azure 資源選項連接至 Azure Data Lake 時：

角色：Microsoft.Storage/storageAccounts/讀取動作
等級：在儲存體帳戶上授與的權限

和

角色：儲存體 Blob 資料讀者、儲存體 blob 參與者或儲存體 Blob 擁有者。
等級：在儲存體帳戶或容器上授與的權限。

「儲存體 Blob 資料讀者」角色足以讀取儲存體帳戶，並將資料內嵌至 Customer Insights – Data。不過，必須有儲存體 Blob 資料參與者或擁有者角色，才能在資料連接體驗中編輯資訊清單檔。

Customer Insights 服務主體 -
使用 Azure Data Lake Storage 作為資料來源

選項 1

角色：儲存體 Blob 資料讀者、儲存體 Blob 資料參與者或儲存體 Blob 資料擁有者。
等級：在儲存體帳戶上授與的權限。

選項 2 (缺乏共用服務主體的儲存體帳戶權限)

角色 1：儲存體 Blob 資料讀者、儲存體 blob 資料參與者或儲存體 Blob 資料擁有者。
等級：在容器上授與的權限。
角色 2：儲存體 Blob 資料委派者。
等級：在儲存體帳戶上授與的權限。

Customer Insights 服務主體 -
使用 Azure Data Lake Storage 作為輸出或目的地

選項 1

角色：儲存體 blob 資料參與者或儲存體 Blob 擁有者。
等級：在儲存體帳戶上授與的權限。

選項 2 (缺乏共用服務主體的儲存體帳戶權限)

角色：儲存體 blob 資料參與者或儲存體 Blob 擁有者。
等級：在容器上授與的權限。
角色 2：儲存體 Blob 委派者。
等級：在儲存體帳戶上授與的權限。

請前往 Azure 管理員入口網站登入貴組織。
開啟您希望服務主體有權存取的儲存體帳戶。
在左窗格中，選取存取控制 (IAM)，然後選取新增>新增角色指派。
在新增角色指派窗格上，設定下列屬性：
- 角色：根據以上所列認證建立的儲存體 Blob 資料讀者、儲存體 Blob 參與者或儲存體 Blob 擁有者。
- 存取權指派對象：使用者、群組或服務主體
- 選取成員：Dynamics 365 AI for Customer Insights (您先前在此程序中查詢的服務主體)
選取檢閱+指派。

傳播變更內容最長耗時 15 分鐘。

在 Customer Insights -Data 的儲存體帳戶附件中，輸入Azure 資源識別碼或 Azure 訂閱詳細資料

在 Customer Insights - Data 中附加 Data Lake Storage 帳戶以儲存輸出資料，或將其用作資料來源。在資源型或訂閱型方法之間選擇，並依照那些步驟操作。

資源型儲存體帳戶連接

請前往 Azure 管理員入口網站登入您的訂閱，並打開儲存體帳戶。
在左窗格中，移至設定>端點。
複製儲存體帳戶資源識別碼值。
在 Customer Insights - Data 儲存體帳戶連接畫面顯示的資源欄位中插入資源識別碼。
繼續進行其餘步驟，以附加儲存體帳戶。

訂閱式儲存體帳戶連接

請前往 Azure 管理員入口網站登入您的訂閱，並打開儲存體帳戶。
在左窗格中，移至設定>屬性。
檢閱儲存體帳戶的訂閱、資源群組和名稱，以確保您在 Customer Insights - Data 中選取正確的值。
在 Customer Insights - Data 中附加儲存體帳戶時，請選擇對應欄位的值。
繼續進行其餘步驟，以附加儲存體帳戶。

分享方式：