Condividi tramite

Usare identità gestite per Azure con Azure Data Lake Storage

  • Articolo

Azure Data Lake Storage fornisce un modello di sicurezza a più livelli. Questo modello ti consente di proteggere e controllare il livello di accesso agli account di archiviazione richiesti dalle applicazioni e dagli ambienti aziendali, in base al tipo e al sottoinsieme di reti o risorse usate. Quando vengono configurate le regole di rete, solo le applicazioni che richiedono dati tramite il set di reti specificato o tramite il set di risorse di Azure specificato possono accedere a un account di archiviazione. Puoi limitare l'accesso all'account di archiviazione alle richieste provenienti da indirizzi IP, intervalli IP, subnet specificati in una rete virtuale di Azure (VNet) o in istanze di risorse di alcuni servizi di Azure.

Le identità gestite per Azure, precedentemente note come Managed Service Identity (MSI), sono utili per la gestione dei segreti. I clienti di Microsoft Dataverse che usano le funzionalità di Azure creano un'identità gestita (nell'ambito della creazione di criteri aziendali) che può essere usata per uno o più ambienti Dataverse. Questa identità gestita di cui verrà eseguito il provisioning nel tenant viene quindi utilizzata da Dataverse per accedere al data lake di Azure.

Con le identità gestite, l'accesso all'account di archiviazione è limitato alle richieste provenienti dall'ambiente Dataverse associato al tuo tenant. Quando Dataverse si connette all'archiviazione per tuo conto, include informazioni di contesto aggiuntive per dimostrare che la richiesta proviene da un ambiente sicuro e affidabile. Ciò consente all'archiviazione di concedere a Dataverse l'accesso all'account di archiviazione. Le identità gestite vengono utilizzate per firmare le informazioni di contesto al fine di stabilire l'attendibilità. In questo modo, si aggiunge sicurezza a livello di applicazione oltre alla sicurezza di rete e infrastruttura fornita da Azure per le connessioni tra servizi di Azure.

Prima di iniziare

  • L'interfaccia della riga di comando di Azure è necessaria nel computer locale. Scaricare e installare
  • Questi due moduli PowerShell sono necessari. Se non li hai, apri PowerShell ed esegui questi comandi:
    • Modulo Azure PowerShell: Install-Module -Name Az
    • Modulo PowerShell di Azure Az.Resources: Install-Module -Name Az.Resources
    • Modulo PowerShell per amministratore di Power Platform:Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Vai a questo file di cartelle compresse in GitHub. Quindi seleziona Scarica per scaricarlo. Estrai il file di cartelle compresse in un computer in una posizione in cui puoi eseguire i comandi di PowerShell. Tutti i file e le cartelle estratti da una cartella compressa devono essere conservati nella relativa posizione originale.
  • Ti consigliamo di creare un nuovo contenitore di archiviazione nello stesso gruppo di risorse di Azure per eseguire l'onboarding di questa funzionalità.

Abilita i criteri aziendali per la sottoscrizione di Azure selezionata

Importante

Devi disporre dell'accesso al ruolo Proprietario della sottoscrizione di Azure per completare questa attività. Ottieni il tuo ID sottoscrizione di Azure dalla pagina Panoramica per il gruppo di risorse di Azure.

  1. Apri l'interfaccia della riga di comando di Azure con Esegui come amministratore e accedi alla tua sottoscrizione di Azure usando il comando: az login Maggiori informazioni: Accedere con l'interfaccia della riga di comando di Azure
  2. (Facoltativo) Se hai più sottoscrizioni di Azure, assicurati di eseguire Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } per aggiornare la sottoscrizione predefinita.
  3. Espandi la cartella compressa che hai scaricato come parte di Prima di iniziare per questa funzionalità in una posizione in cui è possibile eseguire PowerShell.
  4. Per abilitare il criterio aziendale per la sottoscrizione di Azure selezionata, esegui lo script di PowerShell ./SetupSubscriptionForPowerPlatform.ps1.
    • Immetti l'ID sottoscrizione di Azure.

Crea un criterio aziendale

Importante

Devi disporre dell'accesso al ruolo Proprietario del gruppo di risorse di Azure per completare questa attività. Ottieni ID sottoscrizione, Posizione e il nome del Gruppo di risorse dalla pagina Panoramica per il gruppo di risorse di Azure.

  1. Crea il criterio aziendale. Esegui lo script di PowerShell ./CreateIdentityEnterprisePolicy.ps1

    • Immetti l'ID sottoscrizione di Azure.
    • Immetti il nome del gruppo di risorse di Azure.
    • Immetti il nome del criterio aziendale preferito.
    • Immetti la posizione del gruppo di risorse di Azure.

  2. Salva la copia di ResourceId dopo la creazione del criterio.

Nota

Quanto segue sono gli input di posizione validi supportati per la creazione del criterio. Seleziona la posizione per te più appropriata.

Posizioni disponibili per il criterio aziendale

Stati Uniti EUAP

Stati Uniti

Sudafrica

Regno Unito

Australia

Corea del Sud

Giappone

India

Francia

Europa

Asia

Norvegia

Germania

Svizzera

Canada

Brasile

UAE

Singapore

Concedere l'accesso come lettore al criterio aziendale tramite Azure

Gli amministratori globali di Azure e gli amministratori di Dynamics 365 e Power Platform possono accedere all'interfaccia di amministrazione di Power Platform per assegnare ambienti al criterio aziendale. Per accedere ai criteri aziendali, l'amministratore globale o di Azure Key Vault deve concedere il ruolo Lettore all'amministratore di Dynamics 365 o Power Platform. Una volta concesso tale ruolo, l'amministratore di Dynamics 365 o Power Platform vedrà i criteri aziendali nell'interfaccia di amministrazione di Power Platform.

Solo gli amministratori di Power Platform e Dynamics 365 a cui è stato concesso il ruolo Lettore per il criterio aziendale possono "aggiungere un ambiente" al criterio. Altri amministratori di Dynamics 365 e PowerPlatform potrebbero essere in grado di visualizzare il criterio aziendale, ma vedranno un messaggio di errore quando provano ad aggiungere l'ambiente.

Importante

Devi disporre delle autorizzazioni- Microsoft.Authorization/roleAssignments/write, ad esempio Amministratore accessi utente o Proprietario per completare questa attività.

  1. Accedi al portale di Azure.
  2. Ottieni l'ObjectID dell'utente amministratore di Dynamics 365 Power Platform.
    1. Vai all'area Utenti.
    2. Apri l'utente amministratore di Dynamics 365 o Power Platform.
    3. Nella pagina della panoramica per l'utente, copia ObjectID.
  3. Ottieni l'ID criteri aziendali:
    1. Vai a Resource Graph Explorer di Azure.
    2. Esegui questa query: resources | where type == 'microsoft.powerplatform/enterprisepolicies' Eseguire query da Resource Graph Explorer di Azure
    3. Scorri a destra della pagina dei risultati e seleziona il collegamento Vedi dettagli.
    4. Nella pagina Dettagli, copia l'ID.
  4. Apri l'interfaccia della riga di comando di Azure ed esegui il comando seguente, sostituendo <objId> con ObjectID dell'utente e <EP Resource Id> con l'ID criterio aziendale.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Connettere un criterio aziendale all'ambiente Dataverse

Importante

Devi disporre del ruolo Amministratore di Power Platform o Amministratore di Dynamics 365 per completare questa attività. Devi disporre del ruolo Lettore per i criteri aziendali per completare questa attività.

  1. Ottieni l'ID ambiente Dataverse.
    1. Accedi all'interfaccia di amministrazione di Power Platform.
    2. Seleziona Ambienti, quindi apri il tuo ambiente.
    3. Nella sezione Dettagli, copia l'ID ambiente.
    4. Per collegare l'ambiente Dataverse, esegui questo script di PowerShell: ./NewIdentity.ps1
    5. Immetti l'ID ambiente Dataverse.
    6. Immetti ResourceId.
      StatusCode = 202 indica che il collegamento è stato creato correttamente.
  2. Accedi all'interfaccia di amministrazione di Power Platform.
  3. Seleziona Ambienti, quindi apri l'ambiente che hai specificato in precedenza.
  4. Nell'area Operazioni recenti, seleziona Cronologia completa per convalidare la connessione della nuova identità.

Configurare l'accesso di rete per Azure Data Lake Storage Gen2

Importante

Devi disporre del ruolo Proprietario di Azure Data Lake Storage Gen2 per completare questa attività.

  1. Vai al portale di Azure.

  2. Apri l'account di archiviazione connesso al tuo profilo Azure Synapse Link for Dataverse.

  3. Nel riquadro di spostamento a sinistra, seleziona Rete. Quindi nella scheda Firewall e reti virtuali seleziona le impostazioni seguenti:

    1. Abilitata da reti virtuali e indirizzi IP selezionati.
    2. In Istanze di risorsa seleziona Consenti ai servizi di Azure nell'elenco di servizi attendibili di accedere a questo account di archiviazione

  4. Seleziona Salva.

Configurare l'accesso di rete a Azure Synapse workspace

Importante

Per completare questa attività devi disporre del ruolo Amministratore Synapse in Azure.

  1. Vai al portale di Azure.
  2. Apri Azure Synapse workspace connesso al tuo profilo Azure Synapse Link for Dataverse.
  3. Nel riquadro di spostamento a sinistra, seleziona Rete.
  4. Seleziona Consenti ai servizi e alle risorse di Azure di accedere a questa area di lavoro.
  5. Se sono presenti regole firewall IP create per tutti gli intervalli IP, eliminale per limitare l'accesso alla rete pubblica. Impostazioni delle connessioni di rete di Azure Synapse workspace
  6. Aggiungi una nuova regola firewall IP basata sull'indirizzo IP del client.
  7. Al termine selezionare Salva. Ulteriori informazioni: Regole firewall IP di Azure Synapse Analytics

Importante

Dataverse: èè necessario disporre del ruolo di sicurezza di amministratore di sistema Dataverse. Inoltre, le tabelle che desideri esportare tramite Azure Synapse Link devono avere la proprietà Traccia modifiche abilitata. Altre informazioni: Opzioni avanzate

Azure Data Lake Storage Gen2: devi avere un account Azure Data Lake Storage Gen2 e accedere con il ruolo Proprietario e Collaboratore dati BLOB di archiviazione. L'account di archiviazione deve abilitare Spazio dei nomi gerarchico sia per la configurazione iniziale che per la sincronizzazione delta. Consenti l'accesso alla chiave dell'account di archiviazione è obbligatorio solo per la configurazione iniziale.

Area di lavoro Synapse: devi avere un'area di lavoro Synapse e accedere con il ruolo Amministratore Synapse in Synapse Studio. L'area di lavoro Synapse deve trovarsi nella stessa area geografica del tuo accocunt Azure Data Lake Storage Gen2. L'account di archiviazione deve essere aggiunto come servizio collegato all'interno di Synapse Studio. Per creare un'area di lavoro Synapse, vai a Creazione di un'area di lavoro Synapse.

Quando crei il collegamento, Azure Synapse Link for Dataverse ottiene i dettagli sul criterio aziendale attualmente collegato nell'ambiente Dataverse, quindi memorizza nella cache l'URL del segreto del client di identità per la connessione ad Azure.

  1. Accedi a Power Apps e seleziona il tuo ambiente.
  2. Nel riquadro di spostamento a sinistra seleziona Azure Synapse Link e quindi + Nuovo collegamento. Se l'elemento non si trova nel riquadro del pannello laterale, seleziona …Altro, quindi l'elemento desiderato.
  3. Seleziona Seleziona criteri aziendali con identità del servizio gestito e quindi Avanti.
  4. Aggiungi le tabelle che desideri esportare, quindi seleziona Salva.

Nota

Per rendere disponibile il comando Utilizza identità gestita in Power Apps, è necessario completare la configurazione precedente per connettere i criteri aziendali al tuo ambiente Dataverse. Ulteriori informazioni: Connessione di criteri aziendali all'ambiente Dataverse

  1. Vai a un profilo Synapse Link esistente da Power Apps (make.powerapps.com).
  2. Seleziona Utilizza identità gestita, quindi conferma. Utilizza il comando dell'identità gestita in Power Apps

Risoluzione dei problemi

Se vengono visualizzati errori 403 durante la creazione del collegamento:

  • Le identità gestite impiegano più tempo per concedere autorizzazioni temporanee durante la sincronizzazione iniziale. Attendi e riprova l'operazione più tardi.
  • Assicurati che l'archivio collegato non disponga del contenitore Dataverse esistente (dataverse-environmentName-organizationUniqueName) dello stesso ambiente.
  • Puoi identificare il criterio aziendale collegato e policyArmId eseguendo lo script di PowerShell ./GetIdentityEnterprisePolicyforEnvironment.ps1 con l'ID sottoscrizione di Azure e il nome del Gruppo di risorse.
  • Puoi scollegare il criterio aziendale eseguendo lo script PowerShell ./RevertIdentity.ps1 con l'ID ambiente Dataverse e policyArmId.
  • Puoi rimuovere il criterio aziendale eseguendo lo script PowerShell .\RemoveIdentityEnterprisePolicy.ps1 con policyArmId.

Limitazione nota

Solo un criterio aziendale può connettersi contemporaneamente all'ambiente Dataverse. Se è necessario creare più collegamenti Azure Synapse Link con l'identità gestita abilitata, assicurati che tutte le risorse di Azure collegate si trovino nello stesso gruppo di risorse.

Vedi anche

Cos'è Azure Synapse Link for Dataverse?