Compartir vía

Use identidades administradas para Azure con su Azure Data Lake Storage

  • Artículo

Azure Data Lake Storage proporciona un modelo de seguridad en capas. Este modelo le permite proteger y controlar el nivel de acceso a sus cuentas de almacenamiento que exigen sus aplicaciones y entornos empresariales, según el tipo y el subconjunto de redes o recursos utilizados. Cuando se configuran las reglas de red, solo las aplicaciones que solicitan datos a través del conjunto de redes especificado o del conjunto de recursos de Azure especificado pueden acceder a una cuenta de almacenamiento. Puede limitar el acceso a su cuenta de almacenamiento a solicitudes que se originen en direcciones IP específicas, rangos de IP, subredes en una red virtual de Azure (VNet) o instancias de recursos de algunos servicios de Azure.

Las identidades administradas para Azure, anteriormente conocidas como Managed Service Identity (MSI), ayudan con la administración de secretos. Los clientes de Microsoft Dataverse que usan las capacidades de Azure crean una identidad administrada (parte de la creación de políticas empresariales) que se puede usar para uno o más entornos de Dataverse. Esta identidad administrada que se aprovisionará en su arrendatario luego la usa Dataverse para acceder a su Azure Data Lake.

Con las identidades administradas, el acceso a su cuenta de almacenamiento está restringido a las solicitudes que se originan en el entorno Dataverse asociado con su inquilino. Cuando Dataverse se conecta al almacenamiento en su nombre, incluye información de contexto adicional para demostrar que la solicitud se origina en un entorno seguro y confiable. Esto permite que el almacenamiento conceda acceso a Dataverse a su cuenta de almacenamiento. Las identidades administradas se utilizan para firmar la información de contexto a fin de establecer la confianza. Esto agrega seguridad a nivel de aplicación además de la seguridad de red e infraestructura proporcionada por Azure para las conexiones entre los servicios de Azure.

Antes de comenzar

  • Se requiere la CLI de Azure en su máquina local. Descargar e instalar
  • Necesita estos dos módulos de PowerShell. Si no los tiene, abra PowerShell y ejecute estos comandos:
    • Módulo de Azure Az PowerShell: Install-Module -Name Az
    • Módulo de PowerShell de Azure Az.Resources: Install-Module -Name Az.Resources
    • Módulo de administrador de Power Platform de PowerShell: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Vaya a este archivo de carpeta comprimido en GitHub. Después seleccione Descargar para descargarlo. Extraiga el archivo de la carpeta comprimida en una computadora en una ubicación donde pueda ejecutar los comandos de PowerShell. Todos los archivos y carpetas extraídos de una carpeta comprimida deben conservarse en su ubicación original.
  • Le recomendamos que cree un nuevo contenedor de almacenamiento en el mismo grupo de recursos de Azure para incorporar esta función.

Habilite la directiva empresarial para la suscripción de Azure seleccionada

Importante

Debes tener el rol de acceso Propietario de la suscripción de Azure para completar esta tarea. Consiga su Identificador de suscripción de Azure de la página de información general del grupo de recursos de Azure.

  1. Abra la CLI de Azure con ejecutar como Administrador e inicie sesión en su suscripción de Azure con el comando: az login Más información: Iniciar sesión con la CLI de Azure
  2. (Opcional) si tiene varias suscripciones de Azure, asegúrese de ejecutar Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } para actualizar su suscripción predeterminada.
  3. Expanda la carpeta comprimida que descargó como parte del Antes de empezar para esta característica a una ubicación donde pueda ejecutar PowerShell.
  4. Para habilitar la política empresarial para la suscripción de Azure seleccionada, ejecute el script de PowerShell ./SetupSubscriptionForPowerPlatform.ps1.
    • Proporcione la Id. de suscripción de Azure.

Crear una directiva empresarial

Importante

Debes tener el rol de acceso Propietario del grupo de recursos de Azure para completar esta tarea. Obtenga su ID de suscripción de Azure, Ubicación y nombre del Grupo de recursos, de la página de información general del grupo de recursos de Azure.

  1. Crear la directiva empresarial. Ejecutar script de PowerShell ./CreateIdentityEnterprisePolicy.ps1

    • Proporcione la Id. de suscripción de Azure.
    • Proporcione el nombre del grupo de recursos de Azure.
    • Proporcione el nombre de directiva empresarial preferido.
    • Proporcione la ubicación del grupo de recursos de Azure.

  2. Guarde la copia de ResourceId después de la creación de la política.

Nota

Las siguientes son las entradas válidas de ubicación admitidas para la creación de directivas. Seleccione la ubicación que mejor se adecúe a usted.

Ubicaciones disponibles para la directiva empresarial

Estados Unidos EUAP

Estados Unidos

Sudáfrica

Reino Unido

Australia

Corea del Sur

Japón

India

Francia

Europa

Asia

Noruega

Alemania

Suiza

Canadá

Brasil

EAU

Singapur

Otorgue acceso de lector a la directiva empresarial a través de Azure

Los administradores globales de Azure, Dynamics 365 y Power Platform pueden acceder al centro de administración de Power Platform para asignar entornos a la directiva empresarial. Para acceder a las directivas empresariales, se requiere que el administrador global o de Azure Kay Vault otorgue el rol Lector al administrador de Dynamics 365 o Power Platform. Una vez que se otorgue el rol Lector, el administrador de Dynamics 365 o Power Platform podrá ver las directivas empresariales en el centro de administración de Power Platform.

Solo los administradores de Power Platform y de Dynamics 365 a quienes se les otorgó el rol Lector para la directiva empresarial pueden "agregar un entorno" a la directiva. Es posible que otros administradores de PowerPlatform o de Dynamics 365 puedan ver la directiva empresarial, pero recibirán un error cuando intenten Agregar un entorno.

Importante

Debes tener permisos - Microsoft.Authorization/roleAssignments/write, como Acceso de usuario Administrador o Propietario para completar esta tarea.

  1. Inicie sesión en Azure portal.
  2. Obtenga el ObjectID del administrador de usuarios de Dynamics 365 Power Platform.
    1. Vaya a la zona Usuarios.
    2. Abrir el usuario administrador de Dynamics 365 o Power Platform.
    3. En la página de descripción general del usuario, copie el ObjectID.
  3. Obtenga el ID de directivas empresariales:
    1. Vaya a Resource Graph Explorer de Azure.
    2. Ejecute esta consulta: resources | where type == 'microsoft.powerplatform/enterprisepolicies' Ejecute la consulta desde Azure Resource Graph Explorer
    3. Desplácese a la derecha de la página de resultados y seleccione el vínculo Ver detalles.
    4. En la página Detalles, copie el id.
  4. Abra la CLI de Azure y ejecute el siguiente comando, reemplazando <objId> con el ObjectID del usuario y <EP Resource Id> con el ID de directiva empresarial.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Conectar la directiva empresarial al entorno Dataverse

Importante

Para completar esta tarea debe tener el Administrador de Power Platform o Administrador de Dynamics 365. Debe tener el rol Lector de la directiva de empresa para completar esta tarea.

  1. Obtener el ID del entorno Dataverse.
    1. Inicie sesión en el Centro de administración de Power Platform.
    2. Seleccione Entornos y luego abra su entorno.
    3. En la sección Detalles, copie el ID del entorno.
    4. Para vincular el entorno de Dataverse, ejecute este script de PowerShell: ./NewIdentity.ps1
    5. Proporcione el ID del entorno Dataverse.
    6. Proporcione el ResourceId.
      StatusCode = 202 indica que el enlace se creó correctamente.
  2. Inicie sesión en el Centro de administración de Power Platform.
  3. Seleccione Entornos y luego abra el entorno que especificó antes.
  4. En el área Operaciones recientes, seleccione Historial completo para validar la conexión de la nueva identidad.

Configurar el acceso a la red para Azure Data Lake Storage Gen2

Importante

Para completar esta tarea, debe tener el rol Propietario de Azure Data Lake Storage Gen2.

  1. Vaya a Azure Portal.

  2. Abra la cuenta de almacenamiento conectada a su perfil Azure Synapse Link for Dataverse.

  3. En el panel de navegación izquierdo, seleccione Redes. Después, en la pestaña Firewalls y redes virtuales seleccione la configuración siguiente:

    1. Habilitado desde redes virtuales y direcciones IP seleccionadas.
    2. En Instancias de recursos, seleccione Permitir que los servicios de Azure de la lista de servicios de confianza accedan a esta cuenta de almacenamiento

  4. Seleccione Guardar.

Configurar el acceso a la red para Azure Synapse Workspace

Importante

Para completar esta tarea, debe tener el rol Administrador de Synapse de Azure.

  1. Vaya a Azure Portal.
  2. Abra el Azure Synapse Workspace conectado a su perfile de Azure Synapse Link for Dataverse.
  3. En el panel de navegación izquierdo, seleccione Redes.
  4. Seleccione Permitir que los servicios y recursos de Azure accedan a este espacio de trabajo.
  5. Si hay Reglas de fireall de IP creadas para todo el rango de IP, elimínelas para restringir el acceso a la red pública. Configuración de red Azure Synapse Workspace
  6. Agregue una regla de firewall de IP nueva basada en la dirección IP del cliente.
  7. Seleccione Guardar cuando haya terminado. Más información: Reglas de firewall de IP de Azure Synapse Analytics

Importante

Dataverse: debe tener el rol de seguridad de administrador del sistema Dataverse. Además, las tablas que desee exportar a través de Azure Synapse Link deben tener habilitada la propiedad Seguimiento de cambios. Más información: Opciones avanzadas

Azure Data Lake Storage Gen2: debe tener una cuenta de Azure Data Lake Storage Gen2 y el acceso a los roles Propietario y Colaborador de datos de Storage Blob. Su cuenta de almacenamiento debe habilitar el espacio de nombres jerárquico para la configuración inicial y la sincronización delta. Se requiere permitir el acceso a la clave de la cuenta de almacenamiento solo para la configuración inicial.

Área de trabajo de Synapse: debe tener un área de trabajo de Synapse y acceso al rol Administrador de Synapse dentro de Synapse Studio. El área de trabajo de Synapse debe estar en la misma región que su cuenta de Azure Data Lake Storage Gen2. La cuenta de almacenamiento debe agregarse como un servicio vinculado dentro de Synapse Studio. Para crear un área de trabajo de Synapse, vaya a Crear un área de trabajo de Synapse.

Cuando crea el vínculo, Azure Synapse Link for Dataverse obtiene detalles sobre la política empresarial actualmente vinculada en el entorno Dataverse y luego almacena en caché la URL secreta del cliente de identidad para conectarse a Azure.

  1. Inicie sesión en Power Apps y luego seleccione su entorno.
  2. En el panel de navegación izquierdo, seleccione Azure Synapse Link y, a continuación seleccione + Nuevo enlace. Si el elemento no se encuentra en el panel lateral, seleccione …Más y, a continuación, el elemento que desee.
  3. Seleccione Seleccionar directiva empresarial con Managed Service Identity y después seleccione Siguiente.
  4. Agregue las tablas que desea exportar y luego seleccione Guardar.

Nota

Para que el comando Usar identidad administrada esté disponible en Power Apps, debe finalizar la configuración anterior para conectar la política empresarial a su entorno de Dataverse. Más información: Conectar la política empresarial al entorno de Dataverse

  1. Vaya a un perfil de Synapse Link existente desde Power Apps (make.powerapps.com).
  2. Seleccione Usar identidad administrada y luego confirme. Utilice el comando de identidad administrada en Power Apps

Solución de problemas

Si recibe errores 403 durante la creación del enlace:

  • Las identidades administradas tardan más tiempo en otorgar permisos transitorios durante la sincronización inicial. Espere algo de tiempo y vuelva a intentar la operación más tarde.
  • Asegúrese de que el almacenamiento vinculado no tenga el contenedor Dataverse existente (dataverse-environmentName-organizationUniqueName) del mismo entorno.
  • Puede identificar la directiva empresarial vinculada y policyArmId ejecutando el script de PowerShell ./GetIdentityEnterprisePolicyforEnvironment.ps1 con el ID de suscripción de Azure y nombre Grupo de recursos.
  • Puede desvincular la directiva empresarial ejecutando el script de PowerShell ./RevertIdentity.ps1 con el ID de entorno de Dataverse y policyArmId.
  • Puede quitar la directiva empresarial ejecutando el script de PowerShell 1.\RemoveIdentityEnterprisePolicy.ps1 con policyArmId.

Limitación conocida

Solo una directiva empresarial puede conectarse al entorno de Dataverse simultáneamente. Si necesita crear varios vínculos Azure Synapse Link con la identidad administrada habilitada, asegúrese de que todos los recursos de Azure vinculados estén en el mismo grupo de recursos.

Consulte también

¿Qué es Azure Synapse Link for Dataverse?