Delen via

Gebruik beheerde identiteiten voor Azure met uw Azure Data Lake Storage

  • Artikel

Azure Data Lake Storage biedt een gelaagd beveiligingsmodel. Met dit model kunt u het toegangsniveau tot uw opslagaccounts beveiligen en beheren dat uw toepassingen en bedrijfsomgevingen vereisen, op basis van het type en de subset van gebruikte netwerken of resources. Wanneer netwerkregels zijn geconfigureerd, hebben alleen toepassingen die gegevens aanvragen via de opgegeven set netwerken of via de opgegeven set Azure-resources toegang tot een opslagaccount. U kunt de toegang tot uw opslagaccount beperken tot aanvragen die afkomstig zijn van opgegeven IP-adressen, IP-bereiken, subnetten in een Azure Virtual Network (VNet) of resource-instanties van bepaalde Azure-services.

Beheerde identiteiten voor Azure, voorheen bekend als Managed Service Identity (MSI), helpen bij het beheer van geheimen. Microsoft Dataverse-klanten die Azure-mogelijkheden gebruiken, maken een beheerde identiteit (onderdeel van het maken van bedrijfsbeleid) die voor een of meer Dataverse-omgevingen kan worden gebruikt. Deze beheerde identiteit die wordt ingericht in uw tenant wordt vervolgens gebruikt door Dataverse om toegang te krijgen tot uw Azure Data Lake.

Met beheerde identiteiten is de toegang tot uw opslagaccount beperkt tot aanvragen die afkomstig zijn van de Dataverse-omgeving die aan uw tenant is gekoppeld. Wanneer Dataverse namens u verbinding maakt met opslag, bevat het aanvullende contextinformatie om te bewijzen dat het verzoek afkomstig is uit een veilige, vertrouwde omgeving. Hierdoor kan opslag Dataverse-toegang tot uw opslagaccount verlenen. Beheerde identiteiten worden gebruikt om de contextinformatie te ondertekenen om vertrouwen tot stand te brengen. Dit voegt beveiliging op applicatieniveau toe naast de netwerk- en infrastructuurbeveiliging die door Azure wordt geboden voor verbindingen tussen Azure-services.

Voordat u begint

  • Azure CLI is vereist op uw lokale computer. Downloaden en installeren van
  • U hebt deze twee PowerShell-modules nodig. Als u ze niet hebt, opent u PowerShell en voert u deze opdrachten uit:
    • Azure Az PowerShell-module: Install-Module -Name Az
    • Azure Az.Resources PowerShell-module: Install-Module -Name Az.Resources
    • Power Platform-beheer PowerShell-module: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Ga naar dit gecomprimeerde mapbestand op GitHub. Selecteer vervolgens Downloaden om het te downloaden. Pak het gecomprimeerde mapbestand uit op een computer op een locatie waar u PowerShell-opdrachten kunt uitvoeren. Alle bestanden en mappen die uit een gecomprimeerde map zijn gehaald, moeten op hun oorspronkelijke locatie worden bewaard.
  • We raden u aan een nieuwe opslagcontainer te maken onder dezelfde Azure-resourcegroep om deze functie te integreren.

Bedrijfsbeleid inschakelen voor het geselecteerde Azure-abonnement

Belangrijk

U moet de roltoegang Eigenaar van Azure-abonnement hebben om deze taak te kunnen voltooien. Verkrijg uw Azure abonnement-id vanaf de overzichtspagina voor de Azure-resourcegroep.

  1. Open Azure CLI met uitvoeren als beheerder en log in op uw Azure-abonnement met de opdracht:az login Meer informatie: Aanmelden met Azure CLI
  2. (Optioneel) als u meerdere Azure-abonnementen hebt, zorg er dan voor dat u Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } uitvoert om uw standaardabonnement bij te werken.
  3. Vouw de gecomprimeerde map uit die u hebt gedownload als onderdeel van Voordat u begint voor deze functie naar een locatie waar u PowerShell kunt uitvoeren.
  4. Voer het PowerShell-script uit om het bedrijfsbeleid voor het geselecteerde Azure-abonnement in te schakelen ./SetupSubscriptionForPowerPlatform.ps1.
    • Geef de Azure-abonnements-id op.

Bedrijfsbeleid maken

Belangrijk

U moet de roltoegang Eigenaar van Azure-resourcegroep hebben om deze taak te kunnen voltooien. Verkrijg uw Azure Abonnement-id, Locatie en naam van de Resourcegroep van de overzichtspagina voor de Azure-resourcegroep.

  1. Maak het bedrijfsbeleid. Voer het PowerShell-script ./CreateIdentityEnterprisePolicy.ps1 uit

    • Geef de Azure-abonnements-id op.
    • Geef de naam van de Azure-resourcegroep op.
    • Geef de gewenste enterprisebeleidsnaam op.
    • Geef de locatie van de Azure-resourcegroep op.

  2. Bewaar de kopie van de ResourceId na het maken van het beleid..

Notitie

Het volgende is geldige locatie-invoer die wordt ondersteund voor het maken van beleid. Selecteer de locatie die het meest geschikt voor u is.

Locaties beschikbaar voor het enterprisebeleid

Verenigde Staten EUAP

Verenigde Staten

Zuid-Afrika

VK

Australië

Zuid-Korea

Japan

India

Frankrijk

Europa

Azië

Noorwegen

Duitsland

Zwitserland

Canada

Brazilië

VAE

Singapore

Geef lezer toegang tot het bedrijfsbeleid via Azure

De algemene beheerder van Azure, Dynamics 365-beheerders en Power Platform-beheerders hebben toegang tot het Power Platform-beheercentrum om omgevingen toe te wijzen aan het bedrijfsbeleid. Om toegang te krijgen tot het bedrijfsbeleid, moet de globale of Azure Key Vault-beheerder de Leesrol verlenen aan Dynamics 365- of Power Platform-beheerders. Zodra de rol van lezer is toegekend, zien de Dynamics 365- of Power Platform-beheerders het bedrijfsbeleid in het Power Platform-beheercentrum.

Alleen Dynamics 365- en Power Platform-beheerders aan wie de rol van lezer is toegekend aan het bedrijfsbeleid, kunnen omgeving toevoegen aan het beleid. Andere Dynamics 365- en PowerPlatform-beheerders kunnen mogelijk het bedrijfsbeleid bekijken, maar krijgen een foutmelding wanneer ze proberen een omgeving proberen toe te voegen.

Belangrijk

U moet Microsoft.Authorization/roleAssignments/write machtigingen, zoals beheerder voor gebruikerstoegang of Eigenaar hebben om deze taak te kunnen voltooien.

  1. Meld u aan bij de Azure-portal.
  2. Verkrijg de Power Platform ObjectID van de Dynamics 365 beheerder.
    1. Ga naar hetr gebied Gebruikers.
    2. Open de Dynamics 365- of Power Platform-gebruiker met beheerdersrechten.
    3. Kopieer op de overzichtspagina voor de gebruiker de ObjectID.
  3. Vraag de id van het bedrijfsbeleid op:
    1. Ga naar Resource Graph Explorer in Azure.
    2. Voer deze query uit: resources | where type == 'microsoft.powerplatform/enterprisepolicies' Query vanuit Azure Resource Graph Explorer uitvoeren
    3. Scrol naar rechts op de resultatenpagina en selecteer de koppeling Details bekijken.
    4. Kopieer de id op de pagina Details.
  4. Open Azure CLI en voer de volgende opdracht uit, waarbij u de <objId> vervangt door de ObjectID van de gebruiker en de <EP Resource Id> door de bedrijfsbeleids-id.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Koppel het bedrijfsbeleid aan de Dataverse-omgeving

Belangrijk

U moet de rol Power Platform-beheerder of Dynamics 365-beheerder hebben om deze taak te kunnen voltooien. U moet de rol Lezer hebben voor het bedrijfsbeleid om deze taak te kunnen voltooien.

  1. Vraag de id van de Dataverse-omgeving op.
    1. Meld u aan bij het Power Platform-beheercentrum.
    2. Selecteer Omgevingen en open vervolgens uw omgeving.
    3. In de sectie Details kopieert u de Omgevings-id.
    4. Om te koppelen aan de Dataverse-omgeving, voert u dit PowerShell-script uit: ./NewIdentity.ps1
    5. Geef de Dataverse-omgevings-id op.
    6. Geef de Resource-id op.
      StatusCode = 202 geeft aan dat de koppeling succesvol is gemaakt.
  2. Meld u aan bij het Power Platform-beheercentrum.
  3. Selecteer Omgevingen en open vervolgens de omgeving die u eerder hebt opgegeven.
  4. Selecteer in het gebied Recente operaties de optie Volledige geschiedenis om de verbinding van de nieuwe identiteit te valideren.

Configureer netwerktoegang tot de Azure Data Lake Storage Gen2

Belangrijk

U moet de rol Azure Data Lake Storage Gen2 Eigenaar hebben om deze taak te kunnen voltooien.

  1. Ga naar de Azure-portal.

  2. Open het opslagaccount dat is gekoppeld aan uw Azure Synapse Link for Dataverse-profiel.

  3. Selecteer in het linkernavigatiedeelvenster de optie Netwerken. Selecteer vervolgens op het tabblad Firewalls en virtuele netwerken de volgende instellingen:

    1. Ingeschakeld vanaf geselecteerde virtuele netwerken en IP-adressen.
    2. Selecteer onder Resource-instanties de optie Toestaan dat Azure-services op de lijst met vertrouwde services toegang krijgen tot dit opslagaccount

  4. Selecteer Save.

Configureer netwerktoegang tot de Azure Synapse Workspace

Belangrijk

U moet een Azure-rol Synapse-beheerder hebben om deze taak te kunnen voltooien.

  1. Ga naar de Azure-portal.
  2. Open de Azure Synapse Workspace die is verbonden met uw Azure Synapse Link for Dataverse-profiel.
  3. Selecteer in het linkernavigatiedeelvenster de optie Netwerken.
  4. Selecteer Toestaan dat Azure-services en -resources toegang hebben tot deze werkruimte.
  5. Als er IP-firewallregels zijn gemaakt voor het hele IP-bereik, verwijdert u deze om toegang tot het openbare netwerk te beperken. Azure Synapse Workspace-netwerkinstellingen
  6. Voeg een nieuwe IP-firewallregel toe op basis van het IP-adres van de client.
  7. Selecteer Opslaan wanneer u klaar bent. Meer informatie: Azure Synapse Analytics IP-firewallregels

Belangrijk

Dataverse: Zorg ervoor dat u over de beveiligingsrol Dataverse systeembeheerder beschikt. Bovendien moet voor tabellen die u wilt exporteren via Azure Synapse Link de eigenschap Wijzigingen bijhouden zijn ingeschakeld. Meer informatie: Geavanceerde opties

Azure Data Lake Storage Gen2: u moet een Azure Data Lake Storage Gen2-account hebben en toegang hebben met de rollen Eigenaar en Inzender van Blob-opslaggegevens. Uw opslagaccount moet hiërarchische naamruimte inschakelen voor zowel de initiële installatie als deltasynchronisatie. Sleuteltoegang tot het opslagaccount toestaan is alleen vereist voor de initiële installatie.

Synapse-werkruimte: u moet een Synapse-werkruimte hebben en toegang hebben met de rol Synapse-beheerder binnen de Synapse Studio. De Synapse-werkruimte moet zich in dezelfde regio bevinden als uw Azure Data Lake Storage Gen2-account. Het opslagaccount moet worden toegevoegd als een gekoppelde service in de Synapse Studio. Om een Synapse-werkruimte te maken, gaat u naar Een Synapse-werkruimte maken.

Wanneer u de koppeling maakt, krijgt Azure Synapse Link for Dataverse details over het momenteel gekoppelde bedrijfsbeleid onder de Dataverse-omgeving en slaat vervolgens de geheime URL van de identiteitsclient op om verbinding te maken met Azure.

  1. Meld u aan bij Power Apps en selecteer uw omgeving.
  2. Selecteer in het linkernavigatiedeelvenster de optie Azure Synapse Link en vervolgens + Nieuwe koppeling. Als het item zich niet in het deelvenster van het zijpaneel bevindt, selecteert u …Meer en selecteert u vervolgens het gewenste item.
  3. Selecteer Ondernemingsbeleid selecteren met beheerde service-identiteit en vervolgens Volgende.
  4. Voeg de tabellen toe die u wilt exporteren en selecteer vervolgens Opslaan.

Notitie

Om de opdracht Beheerde identiteit gebruiken beschikbaar te maken in Power Apps, moet u de bovenstaande configuratie voltooien om het bedrijfsbeleid te koppelen aan uw Dataverse-omgeving. Meer informatie: Ondernemingsbeleid verbinden met Dataverse-omgeving

  1. Ga naar een bestaand Synapse Link-profiel van Power Apps (make.powerapps.com).
  2. Selecteer Beheerde identiteit gebruiken en bevestig dit vervolgens. Beheerde identiteitsopdracht gebruiken in Power Apps

Probleemoplossing

Als u 403-fouten krijgt tijdens het maken van de koppeling:

  • Beheerde identiteiten hebben extra tijd nodig om tijdelijke machtigingen te verlenen tijdens de eerste synchronisatie. Geef het wat tijd en probeer de operatie later opnieuw.
  • Zorg ervoor dat de gekoppelde opslag niet de bestaande Dataverse-container(dataverse-environmentName-organizationUniqueName) uit dezelfde omgeving heeft.
  • U kunt het gekoppelde ondernemingsbeleid en policyArmId identificeren door het PowerShell-script uit te voeren ./GetIdentityEnterprisePolicyforEnvironment.ps1 met de Azure Abonnements-ID en Brongroep-naam.
  • U kunt het bedrijfsbeleid ontkoppelen door het PowerShell-script ./RevertIdentity.ps1 uit te voeren met de Dataverse omgevings-id en policyArmId.
  • U kunt het bedrijfsbeleid verwijderen door het PowerShell-script uit te voeren .\RemoveIdentityEnterprisePolicy.ps1 met policyArmId.

Bekende beperking

Slechts één ondernemingsbeleid kan tegelijkertijd verbinding maken met de Dataverse-omgeving. Als u meerdere Azure Synapse Link-koppelingen moet maken terwijl de beheerde identiteit is ingeschakeld, zorg er dan voor dat alle gekoppelde Azure-resources zich onder dezelfde resourcegroep bevinden.

Zie ook

Wat is Azure Synapse Link for Dataverse?