Partage via

Utiliser les identités managées pour Azure avec votre Azure Data Lake Storage

  • Article

Azure Data Lake Storage fournit un modèle de sécurité en couches. Ce modèle vous permet de sécuriser et de contrôler le niveau d’accès à vos comptes de stockage requis par vos applications et vos environnements d’entreprise, en fonction du type et du sous-ensemble de réseaux ou de ressources utilisés. Lorsque les règles du réseau sont configurées, seules les applications qui demandent des données sur l’ensemble spécifié de réseaux ou via l’ensemble spécifié de ressources Azure peuvent accéder à un compte de stockage. Vous pouvez limiter l’accès à votre compte de stockage aux demandes provenant d’adresses IP, de plages d’adresses IP, de sous-réseaux spécifiés dans un réseau virtuel Azure (VNet) ou d’instances de ressources de certains services Azure.

Les identités managées pour Azure, anciennement appelées Managed Service Identity (MSI), aident à la gestion des secrets. Les clients Microsoft Dataverse qui utilisent les fonctionnalités Azure créent une identité managée (partie de la création de la stratégie d’entreprise) qui peut être utilisée pour un ou plusieurs environnements Dataverse. Cette identité managée qui est approvisionnée dans votre locataire est ensuite utilisée par Dataverse pour accéder à votre Azure Data Lake.

Avec les identités managées, l’accès à votre compte de stockage est limité aux demandes provenant de l’environnement Dataverse associé à votre locataire. Lorsque Dataverse se connecte au stockage en votre nom, il inclut des informations contextuelles supplémentaires pour prouver que la demande provient d’un environnement sécurisé et approuvé. Cela permet au stockage d’accorder à Dataverse l’accès à votre compte de stockage. Les identités managées sont utilisées pour signer les informations de contexte afin d’établir la confiance. Cela ajoute une sécurité au niveau de l’application en plus de la sécurité du réseau et de l’infrastructure fournie par Azure pour les connexions entre les services Azure.

Avant de commencer

  • Azure CLI est requis sur votre ordinateur local. Télécharger et installer
  • Ces deux modules PowerShell sont nécessaires. Si vous ne les avez pas, ouvrez PowerShell et exécutez ces commandes :
    • Module Azure Az PowerShell : Install-Module -Name Az
    • Module PowerShell Azure Az.Resources : Install-Module -Name Az.Resources
    • Module PowerShell d’administration de Power Platform : Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Accédez à ce fichier de dossier compressé sur GitHub. Ensuite, sélectionnez Télécharger pour le télécharger. Extrayez le fichier de dossier compressé sur un ordinateur, dans un emplacement où vous pouvez exécuter les commandes PowerShell. Tous les fichiers et dossiers extraits d’un dossier compressé doivent être conservés dans leur emplacement d’origine.
  • Nous vous recommandons de créer un nouveau conteneur de stockage dans le même groupe de ressources Azure pour intégrer cette fonctionnalité.

Activer la stratégie d’entreprise pour l’abonnement Azure sélectionné

Important

Vous devez avoir l’accès au rôle Propriétaire de l’abonnement Azure pour effectuer cette tâche. Obtenez votre ID d’abonnement Azure à partir de la page de présentation du groupe de ressources Azure.

  1. Ouvrez Azure CLI avec exécution en tant qu’administrateur et connectez-vous à votre abonnement Azure à l’aide de la commande : az login. Plus d’informations : Se connecter à Azure CLI
  2. (Facultatif) si vous avez plusieurs abonnements Azure, assurez-vous d’exécuter Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } pour mettre à jour votre abonnement par défaut.
  3. Développez le dossier compressé que vous avez téléchargé dans le cadre de Avant de commencer pour cette fonctionnalité à un emplacement où vous pouvez exécuter PowerShell.
  4. Pour activer la stratégie d’entreprise pour l’abonnement Azure sélectionné, exécutez le script PowerShell ./SetupSubscriptionForPowerPlatform.ps1.
    • Fournissez l’ID de l’abonnement Azure.

Créer une stratégie d’entreprise

Important

Vous devez avoir l’accès au rôle Propriétaire du groupe de ressources Azure pour effectuer cette tâche. Obtenez votre ID d’abonnement, Emplacement et nom du Groupe de ressources Azure, à partir de la page de présentation du groupe de ressources Azure.

  1. Créez la stratégie d’entreprise. Exécutez le script PowerShell ./CreateIdentityEnterprisePolicy.ps1

    • Fournissez l’ID de l’abonnement Azure.
    • Indiquez le nom du groupe de ressources Azure.
    • Indiquez le nom de la stratégie d’entreprise préférée.
    • Indiquez l’emplacement du groupe de ressources Azure.

  2. Enregistrez la copie de ResourceId après la création de la stratégie.

Notes

Voici les entrées d’emplacement valides prises en charge pour la création de la stratégie. Sélectionnez l’emplacement le plus approprié pour vous.

Emplacements disponibles pour la stratégie d’entreprise

États-Unis EUAP

États-Unis

Afrique du Sud

Royaume-Uni

Australie

Corée

Japon

Inde

France

Europe

Asie

Norvège

Allemagne

Suisse

Canada

Brésil

Émirats arabes unis

Singapour

Accorder au lecteur l’accès à la stratégie d’entreprise via Azure

Les administrateurs généraux Azure, les administrateurs Dynamics 365 et les administrateurs Power Platform peuvent accéder au centre d’administration Power Platform pour attribuer des environnements à la stratégie d’entreprise. Pour accéder aux stratégies d’entreprise, l’administrateur général ou l’administrateur Azure Key Vault doit accorder le role de lecteur à l’administrateur Dynamics 365 ou Power Platform. Une fois le rôle de lecteur accordé, les administrateurs Dynamics 365 ou Power Platform verront les stratégies d’entreprise dans le centre d’administration Power Platform.

Seuls les administrateurs Dynamics 365 et Power Platform qui ont obtenu le rôle de lecteur pour la stratégie d’entreprise peuvent ajouter un environnement à la stratégie. Les autres administrateurs Dynamics 365 et Power Platform peuvent afficher la stratégie d’entreprise, mais ils obtiennent une erreur lorsqu’ils essaient d’ajouter un environnement.

Important

Vous devez avoir des autorisations Microsoft.Authorization/roleAssignments/write, telles que Administrateur de l’accès utilisateur ou Propriétaire pour mener à bien cette tâche.

  1. Connectez-vous au Portail Azure.
  2. Obtenez l’ObjectID de l’utilisateur administrateur de Dynamics 365 ou Power Platform.
    1. Accédez à la zone Utilisateurs.
    2. Ouvrez l’utilisateur administrateur Dynamics 365 ou Power Platform.
    3. Sous la page de présentation de l’utilisateur, copiez l’ObjectID.
  3. Obtenez l’ID des stratégies d’entreprise :
    1. Accédez à Azure Resource Graph Explorer.
    2. Exécutez cette requête : resources | where type == 'microsoft.powerplatform/enterprisepolicies' Exécuter la requête à partir d’Azure Resource Graph Explorer
    3. Faites défiler vers la droite de la page des résultats et sélectionnez le lien Voir les détails.
    4. Sur la page Détails, copiez l’ID.
  4. Ouvrez Azure CLI et exécutez la commande suivante, en remplaçant <objId> par l’ObjectID de l’utilisateur et <EP Resource Id> par l’ID de la stratégie d’entreprise.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Connecter la stratégie d’entreprise à l’environnement Dataverse

Important

Vous devez avoir le rôle Administrateur Power Platform ou Administrateur Dynamics 365 pour exécuter cette tâche. Vous devez avoir le rôle Lecteur de la stratégie d’entreprise pour effectuer cette tâche.

  1. Obtenez l’ID de l’environnement Dataverse.
    1. Connectez-vous au Centre d’administration de Power Platform.
    2. Sélectionnez Environnements, puis ouvrez votre environnement.
    3. Dans la section Détails, copiez l’ID d’environnement.
    4. Pour créer un lien vers l’environnement Dataverse, exécutez ce script PowerShell : ./NewIdentity.ps1
    5. Indiquez l’ID de l’environnement Dataverse.
    6. Indiquez le ResourceId.
      StatusCode = 202 indique que le lien a été créé avec succès.
  2. Connectez-vous au Centre d’administration de Power Platform.
  3. Sélectionnez Environnements, puis ouvrez l’environnement que vous avez spécifié plus haut.
  4. Dans la zone Opérations récentes, sélectionnez Historique complet pour valider la connexion de la nouvelle identité.

Configurer l’accès réseau à Azure Data Lake Storage Gen2

Important

Vous devez avoir un rôle Azure Data Lake Storage Gen2 Propriétaire pour effectuer cette tâche.

  1. Accédez au portail Azure.

  2. Ouvrez le compte de stockage connecté à votre profil Azure Synapse Link for Dataverse.

  3. Dans le volet de navigation de gauche, sélectionnez Mise en réseau. Ensuite, dans l’onglet Pare-feux et réseaux virtuels, sélectionnez les paramètres suivants :

    1. Activé à partir des réseaux virtuels et des adresses IP sélectionnés.
    2. Sous Instances de ressources, sélectionnez Autoriser les services Azure sur la liste des services approuvés à accéder à ce compte de stockage

  4. Cliquez sur Enregistrer.

Configurer l’accès réseau à Azure Synapse Workspace

Important

Vous devez avoir un rôle Administrateur Synapse Azure pour effectuer cette tâche.

  1. Accédez au portail Azure.
  2. Ouvrez le Azure Synapse workspace connecté à votre profil Azure Synapse Link for Dataverse.
  3. Dans le volet de navigation de gauche, sélectionnez Mise en réseau.
  4. Sélectionnez Autoriser les services et ressources Azure pour accéder à cet espace de travail.
  5. S’il y a des Règles de pare-feu IP créées pour toutes les plages d’adresses IP, supprimez-les pour restreindre l’accès au réseau public. Paramètres réseau d’Azure Synapse workspace
  6. Ajoutez une nouvelle Règle de pare-feu IP en fonction de l’adresse IP du client.
  7. Ensuite, cliquez sur Enregistrer. Plus d’informations : Règles de pare-feu IP Azure Synapse Analytics

Important

Dataverse : vous devez disposer du rôle de sécurité Dataverse Administrateur système. De plus, les tables que vous souhaitez exporter via Azure Synapse Link doivent avoir la propriété Suivi des modifications activée. Pour plus d’informations, voir Options avancées

Azure Data Lake Storage Gen2 : vous devez avoir un compte Azure Data Lake Storage Gen2 et un accès au rôle de Propriétaire et de Contributeur aux données d’objets Blob de stockage. Votre compte de stockage doit activer Espace de noms hiérarchique pour la configuration initiale et la synchronisation delta. Autoriser l’accès à la clé du compte de stockage est requis uniquement pour la configuration initiale.

Espace de travail Synapse : Vous devez avoir un espace de travail Synapse et l’accès au rôle Administrateurs Synapse dans Synapse Studio. L’espace de travail Synapse doit être dans la même région que votre compte Azure Data Lake Storage Gen2. Le compte de stockage doit être ajouté en tant que service lié dans Synapse Studio. Pour créer un espace de travail Synapse, accédez à Création d’un espace de travail Synapse.

Lorsque vous créez le lien, Azure Synapse Link for Dataverse obtient des détails sur la stratégie d’entreprise actuellement liée dans l’environnement Dataverse, puis met en cache l’URL de la clé secrète client de l’identité pour se connecter à Azure.

  1. Connectez-vous à Power Apps et sélectionnez votre environnement.
  2. Dans le volet de navigation de gauche, sélectionnez Azure Synapse Link, puis sélectionnez + Nouveau lien. Si l’élément ne se trouve pas dans le volet latéral, sélectionnez …Plus, puis sélectionnez l’élément souhaité.
  3. Sélectionnez Sélectionner la stratégie d’entreprise avec Managed Service Identity, puis sélectionnez Suivant.
  4. Ajoutez les tables à exporter, puis sélectionnez Enregistrer.

Notes

Pour rendre la commande Utiliser l’identité managée disponible dans Power Apps, vous devez terminer la configuration ci-dessus pour connecter la stratégie d’entreprise à votre environnement Dataverse. Pour plus d’informations : Connecter la politique d’entreprise à un environnement Dataverse

  1. Accédez à un profil Synapse Link existant à partir de Power Apps (make.powerapps.com).
  2. Sélectionnez Utiliser l’identité managée, puis confirmez. Utiliser la commande d’identité managée dans Power Apps

Résolution des problèmes

Si vous recevez des erreurs 403 lors de la création du lien :

  • Les identités managées prennent plus de temps pour accorder une autorisation provisoire lors de la synchronisation initiale. Patientez quelques instances et recommencez l’opération plus tard.
  • Assurez-vous que le stockage lié n’a pas le conteneur Dataverse existant (dataverse-environmentName-organizationUniqueName) du même environnement.
  • Vous pouvez identifier la stratégie d’entreprise liée et policyArmId en exécutant le script PowerShell ./GetIdentityEnterprisePolicyforEnvironment.ps1 avec l’ID d’abonnement Azure et le nom du Groupe de ressources.
  • Vous pouvez dissocier la stratégie d’entreprise en exécutant le script PowerShell ./RevertIdentity.ps1 avec l’ID d’environnement Dataverse et policyArmId.
  • Vous pouvez supprimer la stratégie d’entreprise en exécutant le script PowerShell .\RemoveIdentityEnterprisePolicy.ps1 avec policyArmId.

Limitation connue

Une seule stratégie d’entreprise peut se connecter simultanément à l’environnement Dataverse . Si vous devez créer plusieurs Azure Synapse Link liens avec l’identité managée activée, assurez-vous que toutes les ressources Azure liées se trouvent dans le même groupe de ressources.

Voir aussi

Qu’est-ce que Azure Synapse Link for Dataverse ?