Share via

Azuren hallittujen tunnistetietojen käyttö Azure Data Lake Storagen kanssa

  • Artikkeli

Azure Data Lake Storage sisältää kerroksittaisen suojausmallin. Tämän mallin avulla voit suojata ja hallita käyttöoikeustasoja, joita sovellukset ja yritysympäristöt vaativat käytettyjen verkkojen tyyppien ja alijoukkojen perusteella. Kun verkkosääntöjä on määritetty, vain sovellukset, jotka pyytävät tietoja tietyn verkkojoukon tai määritetyn Azure-resurssijoukon kautta, voivat käyttää tallennustilatiliä. Voit rajoittaa tallennustilatilin käyttöoikeudet pyyntöihin, jotka ovat peräisin määritetyistä IP-osoitteista, IP-alueilta, Azure-näennäisverkon (VNet) aliverkoista tai joidenkin Azure-palveluiden resurssiesiintymistä.

Azuren hallitut tunnistetiedot, jotka tunnettiin aiemmin nimellä hallitut palvelun tunnistetiedot (MSI), auttavat salasanojen hallinnassa. Azure-ominaisuuksia käyttävät Microsoft Dataverse -asiakkaat luovat hallitut tunnistetiedot (kuuluu yrityskäytännön luontiin), joita voidaan käyttää yhden tai useamman Dataverse-ympäristön yhteydessä. Näitä vuokraajassa valmisteltuja hallittuja tunnistetietoja käytetään sitten Dataversessä Azure Data Lakesi käyttämiseen.

Hallittuja tunnistetietoja käytettäessä tallennustilatilin käyttöoikeudet rajoitetaan pyyntöihin, jotka ovat peräisin vuokraajaan yhdistetystä Dataverse-ympäristöstä. Kun Dataverse muodostaa yhteyden tallennustilaan puolestasi, se sisältää ylimääräisiä kontekstitietoja sen todistamista varten, että pyyntö on peräisin suojatusta ja luotetusta ympäristöstä. Tämä sallii tallennustilan myöntää Dataverselle käyttöoikeudet tallennustilatiliin. Hallittuja tunnistetietoja käytetään kontekstitietojen allekirjoittamiseen luottamuksen vahvistamiseksi. Tämä lisää sovellustason suojauksen Azuren Azure-palvelujen välisiä yhteyksiä varten tarjoaman verkko- ja infrastruktuurisuojauksen lisäksi.

Ennen aloittamista

  • Azure CLI on pakollinen paikallisella koneella. Lataa ja asenna
  • Tarvitset nämä kaksi PowerShell-moduulia. Jos niitä ei ole, avaa PowerShell ja suorita seuraavat komennot:
    • Azure Az PowerShell -moduuli: Install-Module -Name Az
    • Azure Az.Resources PowerShell -moduuli: Install-Module -Name Az.Resources
    • Power Platform -järjestelmänvalvojan PowerShell-moduuli: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Siirry tähän pakattuun kansiotiedostoon GitHubissa. Lataa se sitten valitsemalla Lataa. Pura pakattu kansiotiedosto tietokoneelle sijainnissa, jossa voit suorittaa PowerShell-komentoja. Kaikki pakatusta kansiosta puretut tiedostot ja kansiot on säilytettävä alkuperäisessä sijainnissaan.
  • Suosittelemme uuden tallennustilasäilön luomista samaan Azure-resurssiryhmään tämän ominaisuuden käyttöönottoa varten.

Ota yrityskäytäntö käyttöön valitussa Azure-tilauksessa

Tärkeä

Tämän tehtävän suorittaminen vaatii Azure-tilauksen omistaja -roolin käyttöä. Hanki Azuren tilaustunnuksesi Azure-resurssiryhmän yleiskatsaussivulta.

  1. Avaa Azure CLI järjestelmänvalvojana ja kirjaudu Azure-tilaukseesi komennolla az login. Lisätietoja Kirjautuminen Azure CLI:llä
  2. (Valinnainen) Jos sinulla on useita Azure-tilauksia, päivitä oletustilauksesi suorittamalla Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id }.
  3. Laajenna pakattu kansio, jonka latasit osana tämän ominaisuuden Ennen kuin aloitat -kohtaa, sijaintiin, jossa voit käyttää PowerShelliä.
  4. Ota yrityskäytäntö käyttöön valittua Azure-tilausta varten suorittamalla PowerShell-komentosarja ./SetupSubscriptionForPowerPlatform.ps1.
    • Anna Azure-tilauksen tunnus.

Luo yrityskäytäntö

Tärkeä

Tämän tehtävän suorittaminen vaatii Azure-resurssiryhmän omistaja -roolin käyttöä. Katso Azuren Tilaustunnus, Sijainti ja Resurssiryhmän nimi Azure-resurssiryhmän yleiskatsaussivulta.

  1. Luo yrityskäytäntö. Suorita PowerShell-komentosarja ./CreateIdentityEnterprisePolicy.ps1

    • Anna Azure-tilauksen tunnus.
    • Anna Azure-resurssiryhmän nimi.
    • Anna ensisijainen yrityskäytännön nimi.
    • Anna Azure-resurssiryhmän sijainti.

  2. Tallenna ResourceId kopio käytännön luomisen jälkeen.

Huomautus

Seuraavassa esitetään käytännön luonnissa tuetut sijainti-syötteet. Valitse sopivin sijainti.

Yrityskäytännössä käytettävissä olevat sijainnit

Yhdysvallat EUAP

Yhdysvallat

Etelä-Afrikka

Yhdistynyt kuningaskunta

Australia

Etelä-Korea

Japani

Intia

Ranska

Eurooppa

Aasia

Norja

saksa

Sveitsi

Kanada

Brasilia

UAE

Singapore

Lukukäyttöoikeuksien myöntäminen yrityskäytännölle Azuren kautta

Azuren yleiset järjestelmänvalvojat, Dynamics 365:n järjestelmänvalvojat ja Power Platformin järjestelmänvalvojat, voivat käyttää Power Platformin hallintakeskusta lisätäkseen ympäristöjä yrityskäytäntöön. Käyttääkseen yrityskäytäntöjä yleisen tai Azure Key Vaultin järjestelmänvalvojan on myönnettävä Lukija-rooli Dynamics 365:n tai Power Platformin järjestelmänvalvojalle. Kun Lukija-rooli on myönnetty, Dynamics 365:n tai Power Platformin järjestelmänvalvoja näkee yrityskäytännöt Power Platformin hallintakeskuksessa.

Vain Dynamics 365:n ja Power Platformin ja järjestelmänvalvojat, joille on myönnetty yrityskäytännön lukijarooli, voivat lisätä ympäristön käytäntöön. Muut Dynamics 365:n ja Power Platformin järjestelmänvalvojat saattava kyetä näkemään ympäristökäytännön, mutta heillä näyttöön tulee virhe, kun he yrittävät lisätä ympäristön.

Tärkeä

Tämän tehtävän suorittaminen vaatii Microsoft.Authorization/roleAssignments/write-oikeudet, kuten Käyttäjän käyttöoikeuksien järjestelmänvalvoja tai Omistaja.

  1. Kirjaudu Azure-portaaliin.
  2. Hanki Dynamics 365:n tai Power Platformin järjestelmänvalvojakäyttäjän ObjectID.
    1. Siirry Käyttäjät-alueelle.
    2. Avaa Dynamics 365:n tai Power Platformin järjestelmänvalvojakäyttäjä.
    3. Kopioi käyttäjän yleiskatsaussivulla ObjectID.
  3. Hanki yrityskäytäntöjen tunnus:
    1. Siirry Azuressa Resource Graphin hallintaan.
    2. Suorita tämä kysely: resources | where type == 'microsoft.powerplatform/enterprisepolicies' Suorita kysely Azure Resource Graphin hallinnassa
    3. Vieritä tulossivun oikealle puolelle ja valitse Näytä tiedot -linkki.
    4. Kopioi tunnus Tiedot-sivulta.
  4. Avaa Azure CLI ja suorita seuraava komento korvaten arvon <objId> käyttäjän ObjectID-tunnuksella ja <EP Resource Id>-tunnuksen yrityskäytännön tunnuksella.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Yhdistä yrityskäytäntö Dataverse-ympäristöön

Tärkeä

Tämän tehtävän suorittaminen vaatii roolin Power Platform -järjestelmänvalvoja tai Dynamics 365 -järjestelmänvalvoja. Tämän tehtävän suorittaminen vaatii yrityskäytännön Lukija-roolin.

  1. Hanki Dataverse-ympäristön tunnus.
    1. Kirjaudu Power Platform -hallintakeskukseen.
    2. Valitse Ympäristöt ja avaa ympäristösi.
    3. Kopioi Tiedot-osassa Ympäristön tunnus.
    4. Voit linkittää Dataverse-ympäristön suorittamalla tämän PowerShell-komentosarjan: ./NewIdentity.ps1
    5. Anna Dataverse-ympäristön tunnus.
    6. Anna ResourceId.
      StatusCode = 202 ilmaisee, että linkin luonti onnistui.
  2. Kirjaudu Power Platform -hallintakeskukseen.
  3. Valitse ensin Ympäristöt ja avaa sitten aiemmin määrittämäsi ympäristö.
  4. Vahvista uusien tunnistetietojen yhteys valitsemalla Viimeaikaiset toiminnot -alueella Täysi historia.

Määritä verkon käyttöoikeudet Azure Data Lake Storage Gen2:een

Tärkeä

Tämän tehtävän suorittaminen vaatii Azure Data Lake Storage Gen2:n Omistaja-roolin.

  1. Siirry Azure-portaaliin.

  2. Avaa Azure Synapse Link for Dataverse -profiiliisi yhdistetty tallennustilatili.

  3. Valitse vasemmassa siirtymisruudussa Verkkopalvelut. Valitse sitten Palomuurit ja näennäisverkot -välilehdessä seuraavat asetukset:

    1. Sallittu valituista näennäisverkoista ja IP-osoitteista.
    2. Valitse Resurssiesiintymät-kohdassa Salli luotettujen palvelujen luettelon Azure-palveluiden käyttää tätä tallennustilatiliä

  4. Valitse Tallenna.

Määritä verkon käyttöoikeudet Azure Synapse Workspaceen

Tärkeä

Tämän tehtävän suorittaminen vaatii Azuren Synapse-järjestelmänvalvoja-roolin.

  1. Siirry Azure-portaaliin.
  2. Avaa Azure Synapse Link for Dataverse -profiiliisi yhdistetty Azure Synapse Workspace.
  3. Valitse vasemmassa siirtymisruudussa Verkkopalvelut.
  4. Valitse Salli Azure-palveluille ja -resursseille tämän työtilan käyttö.
  5. Jos koko IP-osoitealueelle on luotu IP-palomuurisäännöt, poista ne julkisen verkon käytön rajoittamiseksi. Azure Synapse Workspacen verkkoasetukset
  6. Lisää uusi IP-palomuurisääntö asiakkaan IP-osoitteen perusteella.
  7. Kun olet valmis, valitse Tallenna. Lisätietoja: Azure Synapse Analytics IP-palomuurisäännöt

Tärkeä

Dataverse: Sinulla on oltava Dataverse järjestelmänvalvojan käyttöoikeusrooli. Lisäksi taulukoissa, jotka haluat viedä Azure Synapse Linkin kautta, on oltava käytössä Jäljitä muutokset -ominaisuus. Lisätietoja: Lisäasetukset

Azure Data Lake Storage Gen2: Tarvitaan Azure Data Lake Storage Gen2 -tili sekä Omistaja- ja Säilön BLOB-tietojen osallistuja -roolit. Tallennustilisi on otettava Hierarkkinen nimitila käyttöön sekä alkuasetuksissa että deltasynkronoinnissa. Tallennustilin avaimen käyttöoikeuden salliminen vaaditaan vain alkuasetusten yhteydessä.

Synapse-työtila: sinulla on oltava Synapse-työtila ja Synapse-järjestelmänvalvojan käyttöoikeusrooli Synapse Studiossa. Synapse-työtilan on oltava samalla alueella kuin Azure Data Lake Storage Gen2 -tilisi. Tallennustili on lisättävä linkitettynä palveluna Synapse Studioon. Jos haluat luoda Synapse-työtilan, siirry kohtaan Synapse-työtilan luominen.

Kun luot linkin, Azure Synapse Link for Dataverse saa tietoja linkitettynä olevasta yrityskäytännöstä Dataverse-ympäristössä ja tallentaa sitten tunnistetietojen asiakasohjelman salasanan URL-osoitteen välimuistiin Azureen yhdistämistä varten.

  1. Kirjaudu Power Appsiin ja valitse ympäristö.
  2. Valitse vasemmassa siirtymisruudussa Azure Synapse Link ja valitse sitten + Uusi linkki. Jos nimikettä ei ole sivupaneelissa, valitse ... Lisää ja valitse sitten haluamasi nimike.
  3. Valitse Valitse yrityskäytäntö, jossa on hallitun palvelun käyttäjätiedot ja valitse sitten Seuraava.
  4. Lisää vietävät taulukot ja valitse sitten Tallenna.

Huomautus

Jos haluat, että Käytä hallittuja tunnistetietoja -komento on käytettävissä Power Appsissa, tee yllä mainittu asetus valmiiksi, jotta yrityksen käytäntö voidaan yhdistää Dataverse-ympäristön kanssa. Lisätietoja: Yrityksen käytännön yhdistäminen Dataverse-ympäristöön

  1. Siirry olemassa olevaan Synapse Link -profiiliin Power Appsissa (make.powerapps.com).
  2. Valitse Käytä hallittuja tunnistetietoja ja vahvista valinta. Käytä hallittuja tunnistetietoja -komento Power Appsissa

Vianmääritys

Jos saat 403-virheitä linkin luonnin aikana:

  • Hallitut tunnistetiedot tarvitsevat enemmän aikaa tilapäisten oikeuksien myöntämiseen ensimmäisen synkronoinnin yhteydessä. Anna synkronoinnille aikaa ja kokeile toimintoa uudelleen myöhemmin.
  • Varmista, että linkitetyllä tallennustilalla ei ole olemassa olevaa Dataverse-säilöä (dataverse-environmentName-organizationUniqueName) samasta ympäristöstä.
  • Voit tunnistaa linkitetyn yrityskäytännön ja policyArmId-tunnuksen suorittamalla PowerShell-komentosarjan ./GetIdentityEnterprisePolicyforEnvironment.ps1 käyttäen Azuren tilaustunnusta ja resurssiryhmän nimeä.
  • Voit poistaa yrityskäytännön linkityksen suorittamalla PowerShell-komentosarjan ./RevertIdentity.ps1 käyttäen Dataversen ympäristötunnusta ja policyArmId-tunnusta.
  • Voit poistaa yrityskäytännön suorittamalla PowerShell-komentosarjan .\RemoveIdentityEnterprisePolicy.ps1 käyttäen policyArmId-tunnusta.

Tunnettu rajoitus

Vain yksi yrityskäytäntö voi muodostaa yhteyden Dataverse-ympäristöön samanaikaisesti. Jos haluat luoda useita Azure Synapse Link -linkkejä, joiss on käytössä hallittu tunnistetieto, varmista, että kaikki linkitetyt Azure-resurssit ovat saman resurssiryhmän alla.

Katso myös

Mikä on Azure Synapse Link for Dataverse?