Azuren hallittujen tunnistetietojen käyttö Azure Data Lake Storagen kanssa
Azure Data Lake Storage sisältää kerroksittaisen suojausmallin. Tämän mallin avulla voit suojata ja hallita käyttöoikeustasoja, joita sovellukset ja yritysympäristöt vaativat käytettyjen verkkojen tyyppien ja alijoukkojen perusteella. Kun verkkosääntöjä on määritetty, vain sovellukset, jotka pyytävät tietoja tietyn verkkojoukon tai määritetyn Azure-resurssijoukon kautta, voivat käyttää tallennustilatiliä. Voit rajoittaa tallennustilatilin käyttöoikeudet pyyntöihin, jotka ovat peräisin määritetyistä IP-osoitteista, IP-alueilta, Azure-näennäisverkon (VNet) aliverkoista tai joidenkin Azure-palveluiden resurssiesiintymistä.
Azuren hallitut tunnistetiedot, jotka tunnettiin aiemmin nimellä hallitut palvelun tunnistetiedot (MSI), auttavat salasanojen hallinnassa. Azure-ominaisuuksia käyttävät Microsoft Dataverse -asiakkaat luovat hallitut tunnistetiedot (kuuluu yrityskäytännön luontiin), joita voidaan käyttää yhden tai useamman Dataverse-ympäristön yhteydessä. Näitä vuokraajassa valmisteltuja hallittuja tunnistetietoja käytetään sitten Dataversessä Azure Data Lakesi käyttämiseen.
Hallittuja tunnistetietoja käytettäessä tallennustilatilin käyttöoikeudet rajoitetaan pyyntöihin, jotka ovat peräisin vuokraajaan yhdistetystä Dataverse-ympäristöstä. Kun Dataverse muodostaa yhteyden tallennustilaan puolestasi, se sisältää ylimääräisiä kontekstitietoja sen todistamista varten, että pyyntö on peräisin suojatusta ja luotetusta ympäristöstä. Tämä sallii tallennustilan myöntää Dataverselle käyttöoikeudet tallennustilatiliin. Hallittuja tunnistetietoja käytetään kontekstitietojen allekirjoittamiseen luottamuksen vahvistamiseksi. Tämä lisää sovellustason suojauksen Azuren Azure-palvelujen välisiä yhteyksiä varten tarjoaman verkko- ja infrastruktuurisuojauksen lisäksi.
Ennen aloittamista
- Azure CLI on pakollinen paikallisella koneella. Lataa ja asenna
- Tarvitset nämä kaksi PowerShell-moduulia. Jos niitä ei ole, avaa PowerShell ja suorita seuraavat komennot:
- Azure Az PowerShell -moduuli:
Install-Module -Name Az
- Azure Az.Resources PowerShell -moduuli:
Install-Module -Name Az.Resources
- Power Platform -järjestelmänvalvojan PowerShell-moduuli:
Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
- Azure Az PowerShell -moduuli:
- Siirry tähän pakattuun kansiotiedostoon GitHubissa. Lataa se sitten valitsemalla Lataa. Pura pakattu kansiotiedosto tietokoneelle sijainnissa, jossa voit suorittaa PowerShell-komentoja. Kaikki pakatusta kansiosta puretut tiedostot ja kansiot on säilytettävä alkuperäisessä sijainnissaan.
- Suosittelemme uuden tallennustilasäilön luomista samaan Azure-resurssiryhmään tämän ominaisuuden käyttöönottoa varten.
Ota yrityskäytäntö käyttöön valitussa Azure-tilauksessa
Tärkeä
Tämän tehtävän suorittaminen vaatii Azure-tilauksen omistaja -roolin käyttöä. Hanki Azuren tilaustunnuksesi Azure-resurssiryhmän yleiskatsaussivulta.
- Avaa Azure CLI järjestelmänvalvojana ja kirjaudu Azure-tilaukseesi komennolla
az login
. Lisätietoja Kirjautuminen Azure CLI:llä - (Valinnainen) Jos sinulla on useita Azure-tilauksia, päivitä oletustilauksesi suorittamalla
Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id }
. - Laajenna pakattu kansio, jonka latasit osana tämän ominaisuuden Ennen kuin aloitat -kohtaa, sijaintiin, jossa voit käyttää PowerShelliä.
- Ota yrityskäytäntö käyttöön valittua Azure-tilausta varten suorittamalla PowerShell-komentosarja ./SetupSubscriptionForPowerPlatform.ps1.
- Anna Azure-tilauksen tunnus.
Luo yrityskäytäntö
Tärkeä
Tämän tehtävän suorittaminen vaatii Azure-resurssiryhmän omistaja -roolin käyttöä. Katso Azuren Tilaustunnus, Sijainti ja Resurssiryhmän nimi Azure-resurssiryhmän yleiskatsaussivulta.
Luo yrityskäytäntö. Suorita PowerShell-komentosarja
./CreateIdentityEnterprisePolicy.ps1
- Anna Azure-tilauksen tunnus.
- Anna Azure-resurssiryhmän nimi.
- Anna ensisijainen yrityskäytännön nimi.
- Anna Azure-resurssiryhmän sijainti.
Tallenna ResourceId kopio käytännön luomisen jälkeen.
Huomautus
Seuraavassa esitetään käytännön luonnissa tuetut sijainti-syötteet. Valitse sopivin sijainti.
Yrityskäytännössä käytettävissä olevat sijainnit
Yhdysvallat EUAP
Yhdysvallat
Etelä-Afrikka
Yhdistynyt kuningaskunta
Australia
Etelä-Korea
Japani
Intia
Ranska
Eurooppa
Aasia
Norja
saksa
Sveitsi
Kanada
Brasilia
UAE
Singapore
Lukukäyttöoikeuksien myöntäminen yrityskäytännölle Azuren kautta
Azuren yleiset järjestelmänvalvojat, Dynamics 365:n järjestelmänvalvojat ja Power Platformin järjestelmänvalvojat, voivat käyttää Power Platformin hallintakeskusta lisätäkseen ympäristöjä yrityskäytäntöön. Käyttääkseen yrityskäytäntöjä yleisen tai Azure Key Vaultin järjestelmänvalvojan on myönnettävä Lukija-rooli Dynamics 365:n tai Power Platformin järjestelmänvalvojalle. Kun Lukija-rooli on myönnetty, Dynamics 365:n tai Power Platformin järjestelmänvalvoja näkee yrityskäytännöt Power Platformin hallintakeskuksessa.
Vain Dynamics 365:n ja Power Platformin ja järjestelmänvalvojat, joille on myönnetty yrityskäytännön lukijarooli, voivat lisätä ympäristön käytäntöön. Muut Dynamics 365:n ja Power Platformin järjestelmänvalvojat saattava kyetä näkemään ympäristökäytännön, mutta heillä näyttöön tulee virhe, kun he yrittävät lisätä ympäristön.
Tärkeä
Tämän tehtävän suorittaminen vaatii Microsoft.Authorization/roleAssignments/write
-oikeudet, kuten Käyttäjän käyttöoikeuksien järjestelmänvalvoja tai Omistaja.
- Kirjaudu Azure-portaaliin.
- Hanki Dynamics 365:n tai Power Platformin järjestelmänvalvojakäyttäjän ObjectID.
- Siirry Käyttäjät-alueelle.
- Avaa Dynamics 365:n tai Power Platformin järjestelmänvalvojakäyttäjä.
- Kopioi käyttäjän yleiskatsaussivulla ObjectID.
- Hanki yrityskäytäntöjen tunnus:
- Siirry Azuressa Resource Graphin hallintaan.
- Suorita tämä kysely:
resources | where type == 'microsoft.powerplatform/enterprisepolicies'
- Vieritä tulossivun oikealle puolelle ja valitse Näytä tiedot -linkki.
- Kopioi tunnus Tiedot-sivulta.
- Avaa Azure CLI ja suorita seuraava komento korvaten arvon
<objId>
käyttäjän ObjectID-tunnuksella ja<EP Resource Id>
-tunnuksen yrityskäytännön tunnuksella.New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>
Yhdistä yrityskäytäntö Dataverse-ympäristöön
Tärkeä
Tämän tehtävän suorittaminen vaatii roolin Power Platform -järjestelmänvalvoja tai Dynamics 365 -järjestelmänvalvoja. Tämän tehtävän suorittaminen vaatii yrityskäytännön Lukija-roolin.
- Hanki Dataverse-ympäristön tunnus.
- Kirjaudu Power Platform -hallintakeskukseen.
- Valitse Ympäristöt ja avaa ympäristösi.
- Kopioi Tiedot-osassa Ympäristön tunnus.
- Voit linkittää Dataverse-ympäristön suorittamalla tämän PowerShell-komentosarjan:
./NewIdentity.ps1
- Anna Dataverse-ympäristön tunnus.
- Anna ResourceId.
StatusCode = 202 ilmaisee, että linkin luonti onnistui.
- Kirjaudu Power Platform -hallintakeskukseen.
- Valitse ensin Ympäristöt ja avaa sitten aiemmin määrittämäsi ympäristö.
- Vahvista uusien tunnistetietojen yhteys valitsemalla Viimeaikaiset toiminnot -alueella Täysi historia.
Määritä verkon käyttöoikeudet Azure Data Lake Storage Gen2:een
Tärkeä
Tämän tehtävän suorittaminen vaatii Azure Data Lake Storage Gen2:n Omistaja-roolin.
Siirry Azure-portaaliin.
Avaa Azure Synapse Link for Dataverse -profiiliisi yhdistetty tallennustilatili.
Valitse vasemmassa siirtymisruudussa Verkkopalvelut. Valitse sitten Palomuurit ja näennäisverkot -välilehdessä seuraavat asetukset:
- Sallittu valituista näennäisverkoista ja IP-osoitteista.
- Valitse Resurssiesiintymät-kohdassa Salli luotettujen palvelujen luettelon Azure-palveluiden käyttää tätä tallennustilatiliä
Valitse Tallenna.
Määritä verkon käyttöoikeudet Azure Synapse Workspaceen
Tärkeä
Tämän tehtävän suorittaminen vaatii Azuren Synapse-järjestelmänvalvoja-roolin.
- Siirry Azure-portaaliin.
- Avaa Azure Synapse Link for Dataverse -profiiliisi yhdistetty Azure Synapse Workspace.
- Valitse vasemmassa siirtymisruudussa Verkkopalvelut.
- Valitse Salli Azure-palveluille ja -resursseille tämän työtilan käyttö.
- Jos koko IP-osoitealueelle on luotu IP-palomuurisäännöt, poista ne julkisen verkon käytön rajoittamiseksi.
- Lisää uusi IP-palomuurisääntö asiakkaan IP-osoitteen perusteella.
- Kun olet valmis, valitse Tallenna. Lisätietoja: Azure Synapse Analytics IP-palomuurisäännöt
Uuden Azure Synapse Link for Dataversen luominen hallittujen tunnistetietojen avulla
Tärkeä
Dataverse: Sinulla on oltava Dataverse järjestelmänvalvojan käyttöoikeusrooli. Lisäksi taulukoissa, jotka haluat viedä Azure Synapse Linkin kautta, on oltava käytössä Jäljitä muutokset -ominaisuus. Lisätietoja: Lisäasetukset
Azure Data Lake Storage Gen2: Tarvitaan Azure Data Lake Storage Gen2 -tili sekä Omistaja- ja Säilön BLOB-tietojen osallistuja -roolit. Tallennustilisi on otettava Hierarkkinen nimitila käyttöön sekä alkuasetuksissa että deltasynkronoinnissa. Tallennustilin avaimen käyttöoikeuden salliminen vaaditaan vain alkuasetusten yhteydessä.
Synapse-työtila: sinulla on oltava Synapse-työtila ja Synapse-järjestelmänvalvojan käyttöoikeusrooli Synapse Studiossa. Synapse-työtilan on oltava samalla alueella kuin Azure Data Lake Storage Gen2 -tilisi. Tallennustili on lisättävä linkitettynä palveluna Synapse Studioon. Jos haluat luoda Synapse-työtilan, siirry kohtaan Synapse-työtilan luominen.
Kun luot linkin, Azure Synapse Link for Dataverse saa tietoja linkitettynä olevasta yrityskäytännöstä Dataverse-ympäristössä ja tallentaa sitten tunnistetietojen asiakasohjelman salasanan URL-osoitteen välimuistiin Azureen yhdistämistä varten.
- Kirjaudu Power Appsiin ja valitse ympäristö.
- Valitse vasemmassa siirtymisruudussa Azure Synapse Link ja valitse sitten + Uusi linkki. Jos nimikettä ei ole sivupaneelissa, valitse ... Lisää ja valitse sitten haluamasi nimike.
- Valitse Valitse yrityskäytäntö, jossa on hallitun palvelun käyttäjätiedot ja valitse sitten Seuraava.
- Lisää vietävät taulukot ja valitse sitten Tallenna.
Hallittujen tunnistetietojen käyttöönotto olemassa olevaa Azure Synapse Link -profiilia varten
Huomautus
Jos haluat, että Käytä hallittuja tunnistetietoja -komento on käytettävissä Power Appsissa, tee yllä mainittu asetus valmiiksi, jotta yrityksen käytäntö voidaan yhdistää Dataverse-ympäristön kanssa. Lisätietoja: Yrityksen käytännön yhdistäminen Dataverse-ympäristöön
- Siirry olemassa olevaan Synapse Link -profiiliin Power Appsissa (make.powerapps.com).
- Valitse Käytä hallittuja tunnistetietoja ja vahvista valinta.
Vianmääritys
Jos saat 403-virheitä linkin luonnin aikana:
- Hallitut tunnistetiedot tarvitsevat enemmän aikaa tilapäisten oikeuksien myöntämiseen ensimmäisen synkronoinnin yhteydessä. Anna synkronoinnille aikaa ja kokeile toimintoa uudelleen myöhemmin.
- Varmista, että linkitetyllä tallennustilalla ei ole olemassa olevaa Dataverse-säilöä (dataverse-environmentName-organizationUniqueName) samasta ympäristöstä.
- Voit tunnistaa linkitetyn yrityskäytännön ja
policyArmId
-tunnuksen suorittamalla PowerShell-komentosarjan./GetIdentityEnterprisePolicyforEnvironment.ps1
käyttäen Azuren tilaustunnusta ja resurssiryhmän nimeä. - Voit poistaa yrityskäytännön linkityksen suorittamalla PowerShell-komentosarjan
./RevertIdentity.ps1
käyttäen Dataversen ympäristötunnusta japolicyArmId
-tunnusta. - Voit poistaa yrityskäytännön suorittamalla PowerShell-komentosarjan .\RemoveIdentityEnterprisePolicy.ps1 käyttäen policyArmId-tunnusta.
Tunnettu rajoitus
Vain yksi yrityskäytäntö voi muodostaa yhteyden Dataverse-ympäristöön samanaikaisesti. Jos haluat luoda useita Azure Synapse Link -linkkejä, joiss on käytössä hallittu tunnistetieto, varmista, että kaikki linkitetyt Azure-resurssit ovat saman resurssiryhmän alla.
Katso myös
Palaute
https://aka.ms/ContentUserFeedback.
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä:Lähetä ja näytä palaute kohteelle