Udostępnij za pośrednictwem

Korzystanie z tożsamości zarządzanych na platformie Azure przy użyciu magazynu danych Azure Data Lake Storage

  • Artykuł

Azure Data Lake Storage oferuje warstwę zabezpieczeń. Ten model umożliwia zabezpieczenia i kontroli poziomu dostępu do kont magazynowania używanych przez aplikacje i środowiska przedsiębiorstw na podstawie typu i podzbioru używanych sieci lub zasobów. Gdy reguły sieciowe są skonfigurowane, tylko aplikacje żądające danych w określonym zestawie sieci lub za pośrednictwem określonego zestawu zasobów platformy Azure mogą uzyskać dostęp do konta magazynu. Dostęp do konta magazynu można ograniczyć do żądań pochodzących z określonych adresów IP, zakresów IP, podsieci w usłudze Azure Virtual Network (VNet) lub wystąpień zasobów niektórych usług Azure.

Tożsamości zarządzane dla platformy Azure, które były wcześniej znane jako tożsamość usługi zarządzanej (MSI), pomagają zarządzać tajnymi danymi. Klienci Microsoft Dataverse używający funkcji Platformy Azure tworzą tożsamość zarządzaną (część tworzenia zasad przedsiębiorstwa), która może być używana w jednym lub kilku środowiskach Dataverse. Ta tożsamość zarządzana, która będzie wykorzystywana w dzierżawie użytkownika, jest następnie używana przez Dataverse do uzyskiwania dostępu do danych platformy Azure.

W przypadku tożsamości zarządzanych dostęp do konta magazynu jest ograniczony do żądań pochodzących ze środowiska Dataverse skojarzonego z dzierżawcą. Podczas łączenia się Dataverse z magazynem w imieniu użytkownika zawiera ono dodatkowe informacje kontekstowe, które udowadniają, że żądanie pochodzi z bezpiecznego, zaufanego środowiska. Dzięki temu można przyznać dostęp usłudze Dataverse do konta magazynu. Tożsamości zarządzane są używane do podpisywania informacji kontekstowych w celu ustanowienia zaufania. To powoduje dodanie zabezpieczeń na poziomie aplikacji oraz zabezpieczeń sieci i infrastruktury oferowanych przez platformę Azure w celu połączenia między usługami Azure.

Przed rozpoczęciem

  • Na komputerze lokalnym jest wymagany interfejs wiersza polecenia Azure. Pobierz i zainstaluj
  • Potrzebne są te dwa moduły programu PowerShell. Jeśli ich nie ma, otwórz program PowerShell i uruchom następujące polecenia:
    • Moduł programu PowerShell Azure Az: Install-Module -Name Az
    • Moduł Azure Az.Resources PowerShell: Install-Module -Name Az.Resources
    • Moduł programu PowerShell administratora Power Platform: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Przejdź do tego skompresowanego pliku folderu na stronie GitHub. Następnie wybierz przycisk Pobierz, by go pobrać. Wyodrębnij plik skompresowanego folderu na komputer, w lokalizacji, w której można uruchamiać polecenia programu PowerShell. Wszystkie pliki i foldery wyodrębnione ze folderu skompresowanego powinny być zachowane w ich oryginalnej lokalizacji.
  • Zaleca się utworzenie nowego konteneru magazynu w ramach tej samej grupy zasobów Platformy Azure w celu jej użycia.

Włączenie zasad korporacyjnych dla wybranej subskrypcji Azure

Ważne

Aby wykonać to zadanie, musisz mieć dostęp do roli Właściciel subskrypcji Azure. Uzyskaj swój identyfikator subskrypcji na stronie przeglądu grupy zasobów Azure.

  1. Otwórz interfejs wiersza polecenia Azure, uruchom go jako administrator i zaloguj się do swojej subskrypcji Azure, używając tego polecenia: az login. Więcej informacji: Zaloguj się przy użyciu interfejsu wiersza polecenia platformy Azure
  2. Jeśli masz wiele subskrypcji platformy Azure (opcjonalnie), upewnij się, że chcesz uruchomić Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } w celu aktualizacji subskrypcji domyślnej.
  3. Rozwiń skompresowany folder pobrany jako część Przed uruchomieniem dla tej funkcji do lokalizacji, w której można uruchomić PowerShell.
  4. Aby włączyć zasady przedsiębiorstwa dla wybranej subskrypcji Azure, uruchom skrypt programu PowerShell ./SetupSubscriptionForPowerPlatform.ps1.
    • Podaj identyfikator subskrypcji platformy Azure.

Utwórz zasadę przedsiębiorstwa

Ważne

Aby wykonać to zadanie, musisz mieć dostęp do roli Właściciel grupy zasobów Azure. Uzyskaj swój identyfikator subskrypcji Azure, lokalizację i nazwę grupy zasobów na stronie przeglądu grupy zasobów Azure.

  1. Utwórz zasadę przedsiębiorstwa. Uruchom skrypt programu PowerShell ./CreateIdentityEnterprisePolicy.ps1

    • Podaj identyfikator subskrypcji platformy Azure.
    • Podaj nazwę grupy zasobów Azure.
    • Należy podać preferowaną nazwę zasad przedsiębiorstwa.
    • Podaj lokalizację grupy zasobów Azure.

  2. Zapisz kopię dokumentu ResourceId po utworzeniu zasad.

Uwaga

Poniższe informacje są prawidłowymi informacjami wejściowymi lokalizacji obsługiwanymi przy tworzeniu zasad. Wybierz lokalizację, która jest najbardziej dla Ciebie odpowiednia.

Lokalizacje dostępne w zasadach przedsiębiorstwa

Stany Zjednoczone EUAP

Stany Zjednoczone

Republika Południowej Afryki

Zjednoczone Królestwo

Australia

Korea Południowa

Japonia

Indie

Francja

Europa

Azja

Norwegia

Niemcy

Szwajcaria

Kanada

Brazylia

Zjednoczone Emiraty Arabskie

Singapur

Nadaj czytelnikowi dostęp do zasad przedsiębiorstwa za pośrednictwem platformy Azure

Administratorzy globalni Azure i administratorzy Dynamics 365 oraz Power Platform mogą uzyskać dostęp do centrum administracyjnego Power Platform i przypisać środowiska do zasad przedsiębiorstwa. Aby uzyskać dostęp do zasad przedsiębiorstwa, administrator globalny z dostępem do Azure Key Vault musi udzielić roli Czytelnik administratorowi Dynamics 365 lub Power Platform. Po udzieleniu roli Czytelnik administrator Dynamics 365 lub Power Platform będzie w stanie wyświetlać zasady przedsiębiorstwa w centrum administracyjnym Power Platform.

Tylko administratorzy usług Power Platform i Dynamics 365, którym udzielono roli Czytelnik do zasad przedsiębiorstwa, mogą do zasad „dodawać środowisko”. Inni administratorzy usług Power Platform i Dynamics 365 mogą wyświetlać zasady przedsiębiorstwa, ale zobaczą błąd podczas próby dodania środowiska.

Ważne

Aby wykonać to zadanie, musisz mieć uprawnienia - Microsoft.Authorization/roleAssignments/write, takie jak Dostęp użytkownika administratora lub Właściciel.

  1. Zaloguj się w witrynie Azure Portal.
  2. Uzyskaj identyfikator ObjectID użytkownika administratora usługi Dynamics 365 Power Platform.
    1. Przejdź do obszaru Użytkownicy.
    2. Otwórz centrum administracyjne Dynamics 365 lub Power Platform.
    3. Na stronie przeglądowej użytkownika skopiuj identyfikator ObjectID.
  3. Uzyskiwanie identyfikatora zasad przedsiębiorstwa:
    1. Przejdź do Eksploratora programu Resource Graph na platformie Azure.
    2. Uruchom tę kwerendę: resources | where type == 'microsoft.powerplatform/enterprisepolicies' Uruchom zapytanie z eksploratora wykresów zasobów Azure
    3. Przewiń listę w prawo od strony wyników i wybierz łącze Wyświetl szczegóły.
    4. Na stronie Szczegóły skopiuj identyfikator.
  4. Otwórz interfejs wiersza polecenia platformy Azure i uruchom poniższe polecenie, zastępując <objId> identyfikatorem użytkownika ObjectID i <EP Resource Id> na identyfikator zasad przedsiębiorstwa.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Łączenie zasad przedsiębiorstwa ze środowiskiem Dataverse

Ważne

Aby wykonać to zadanie, musisz mieć rolę Administrator Power Platform lub Administrator Dynamics 365. Aby wykonać te zasady, musisz posiadać rolę Czytelnik.

  1. Uzyskiwanie identyfikatora środowiska platformy Dataverse.
    1. Zaloguj się w centrum administracyjnym usługi Power Platform.
    2. Wybierz Środowiska i otwórz swoje środowisko.
    3. W sekcji Szczegóły skopiuj identyfikator środowiska.
    4. Aby połączyć się ze środowiskiem Dataverse, uruchom ten skrypt programu PowerShell: ./NewIdentity.ps1
    5. Podaj identyfikator środowiska platformy Dataverse.
    6. Podaj ResourceId.
      StatusCode = 202 wskazuje, że łącze zostało pomyślnie utworzone.
  2. Zaloguj się w centrum administracyjnym usługi Power Platform.
  3. Wybierz środowiska, a następnie otwórz określone wcześniej środowisko.
  4. W obszarze Ostatnie operacje wybierz opcję Pełna historia w celu sprawdzenia poprawności połączenia nowej tożsamości.

Konfigurowanie dostępu do sieci do serwera Azure Data Lake Storage Gen2

Ważne

Aby wykonać to zadanie, musisz mieć rolę Właściciela Azure Data Lake Storage Gen2.

  1. Przejdź do portalu Azure Portal.

  2. Otwórz konto magazynu połączone z profilem Azure Synapse Link for Dataverse.

  3. W lewym okienku nawigacji, wybierz Sieć. Następnie na karcie Zapory i sieci wirtualne wybierz następujące ustawienia:

    1. Włączono obsługę wybranych sieci wirtualnych i adresów IP.
    2. W obszarze Wystąpienia zasobów wybierz pozycję Zezwalaj na usługi Azure na liście zaufanych usług, aby uzyskać dostęp do tego konta magazynu

  4. Wybierz pozycję Zapisz.

Konfigurowanie dostępu do sieci do serwera Azure Synapse Workspace

Ważne

Aby wykonać to zadanie, musisz mieć rolę administratora Azure Synapse.

  1. Przejdź do portalu Azure Portal.
  2. Otwórz obszar roboczy Azure Synapse workspace połączony z profilem Azure Synapse Link for Dataverse.
  3. W lewym okienku nawigacji, wybierz Sieć.
  4. Wybierz Zezwól usługom i zasobom Azure na dostęp do tego obszaru roboczego.
  5. Jeśli istnieją reguły Zapora IP utworzone dla wszystkich zakresów IP, usuń je, aby ograniczyć dostęp do sieci publicznej. Ustawienia sieci obszaru roboczego Azure Synapse workspace
  6. Dodaj nową regułę zapory IP na podstawie adresu IP klienta.
  7. Po zakończeniu wybierz pozycję Zapisz. Więcej informacji: Reguły zapory IP Azure Synapse Analytics

Ważne

Dataverse: Upewnij się, że masz rolę zabezpieczeń Dataverse Administrator systemu. Ponadto dla tabel, które mają być eksportowane za pośrednictwem Azure Synapse Link musi być włączona właściwość Śledź zmiany. Więcej informacji: Opcje zaawansowane

Azure Data Lake Storage Gen 2: trzeba mieć konto Azure Data Lake Storage Gen 2 oraz dostęp do ról Właściciel i Współautor Storage Blob Data. Konto magazynu musi umożliwiać Hierarchiczną przestrzeń nazw zarówno dla początkowej konfiguracji, jak i synchronizacji. Zezwalanie na dostęp do klucza konta magazynu jest wymagane tylko w przypadku początkowej konfiguracji.

Obszar roboczy Synapse: Musisz mieć przestrzeń roboczą Synapse i dostęp do roli Administrator Synapse w ramach Synapse Studio. Obszar roboczy Synapse musi znajdować się w tym samym regionie, co konto Azure Data Lake Storage Gen2. Konto magazynu należy dodać jako połączoną usługę w Synapse Studio. Aby utworzyć obszar roboczy Synapse, przejdź do Tworzenie obszaru roboczego Synapse.

Podczas tworzenia łącza Azure Synapse Link for Dataverse pobiera szczegółowe informacje dotyczące aktualnie połączonych zasad przedsiębiorstwa w środowisku Dataverse, a następnie buforuje adres URL klienta tożsamości w celu połączenia z platformą Azure.

  1. Zaloguj się do Power Apps i wybierz swoje środowisko.
  2. W lewym okienku nawigacji wybierz Azure Synapse Link, a następnie wybierz opcję + Nowe łącze. Jeśli elementu nie ma w okienku panelu bocznego, wybierz …Więcej, a następnie wybierz żądany element.
  3. Wybierz Zasady przedsiębiorstwa z tożsamością usługi zarządzanej, następnie wybierz Dalej.
  4. Dodaj tabele do wyeksportowania, a następnie wybierz opcję Zapisz.

Uwaga

Aby udostępnić polecenie Użyj tożsamości zarządzanej w Power Apps, musisz dokończyć powyższą konfigurację w celu połączenia zasad przedsiębiorstwa ze swoim środowiskiem Dataverse. Więcej informacji: Łączenie zasad przedsiębiorstwa ze środowiskiem usługi Dataverse

  1. Przejdź do istniejącego profilu Synapse Link z Power Apps (make.powerapps.com).
  2. Wybierz polecenie Użyj tożsamości zarządzanej, a następnie potwierdź. Polecenie Użyj tożsamości zarządzanej w Power Apps

Rozwiązywanie problemów

Jeśli podczas tworzenia łącza zostanie wyświetlonych 403 błędów:

  • Tożsamości zarządzane zajmą więcej czasu, aby przyznać uprawnienie do zdjęcia podczas początkowej synchronizacji. Spróbuj wykonać operację później.
  • Upewnij się, że połączony magazyn nie zawiera istniejącego kontenera Dataverse (dataverse-environmentName-organizationUniqueName) z tego samego środowiska.
  • Możesz identyfikować połączone zasady przedsiębiorstwa i policyArmId, uruchamiając skrypt PowerShell ./GetIdentityEnterprisePolicyforEnvironment.ps1 z Identyfikatorem subskrypcji Azure i nazwą Grupy zasobów.
  • Zasady przedsiębiorstwa można odłączyć, uruchamiając skrypt programu PowerShell ./RevertIdentity.ps1 z identyfikatorem środowiska Dataverse i policyArmId.
  • Zasady przedsiębiorstwa można usunąć, uruchamiając skrypt programu PowerShell .\RemoveIdentityEnterprisePolicy.ps1 z policyArmId.

Znane ograniczenie

Tylko jedna polityka przedsiębiorstwa może łączyć się ze środowiskiem Dataverse jednocześnie. Jeśli konieczne jest utworzenie wielu łączy Azure Synapse Link z włączoną tożsamością zarządzaną, należy upewnić się, że wszystkie połączone zasoby Azure znajdują się w tej samej grupie zasobów.

Zobacz też

Co to jest Azure Synapse Link for Dataverse?