Condividi tramite

Usare identità gestite per Azure con Azure Data Lake Storage

  • Articolo

Azure Data Lake Storage fornisce un modello di sicurezza a più livelli. Questo modello ti consente di proteggere e controllare il livello di accesso agli account di archiviazione richiesti dalle applicazioni e dagli ambienti aziendali, in base al tipo e al sottoinsieme di reti o risorse usate. Quando vengono configurate le regole di rete, solo le applicazioni che richiedono dati tramite il set di reti specificato o tramite il set di risorse di Azure specificato possono accedere a un account di archiviazione. Puoi limitare l'accesso all'account di archiviazione alle richieste provenienti da indirizzi IP, intervalli IP, subnet specificati in una rete virtuale di Azure (VNet) o in istanze di risorse di alcuni servizi di Azure.

Le identità gestite per Azure, in precedenza note come Managed Service Identity (MSI), facilitano la gestione dei segreti. I clienti di Microsoft Dataverse che usano le funzionalità di Azure creano un'identità gestita (nell'ambito della creazione di criteri aziendali) che può essere usata per uno o più ambienti Dataverse. Questa identità gestita di cui verrà eseguito il provisioning nel tenant viene quindi utilizzata da Dataverse per accedere al data lake di Azure.

Con le identità gestite, l'accesso all'account di archiviazione è limitato alle richieste provenienti dall'ambiente Dataverse associato al tuo tenant. Quando Dataverse si connette all'archiviazione per tuo conto, include informazioni di contesto aggiuntive per dimostrare che la richiesta proviene da un ambiente sicuro e affidabile. Ciò consente all'archiviazione di concedere a Dataverse l'accesso all'account di archiviazione. Le identità gestite vengono utilizzate per firmare le informazioni di contesto al fine di stabilire l'attendibilità. In questo modo, si aggiunge sicurezza a livello di applicazione oltre alla sicurezza di rete e infrastruttura fornita da Azure per le connessioni tra servizi di Azure.

Prima di iniziare

  • L'interfaccia della riga di comando di Azure è necessaria nel computer locale. Scarica e installa
  • Questi due moduli PowerShell sono necessari. Se non li hai, apri PowerShell ed esegui questi comandi:
    • Modulo Azure PowerShell: Install-Module -Name Az
    • Modulo PowerShell di Azure Az.Resources: Install-Module -Name Az.Resources
    • Modulo PowerShell per amministratore di Power Platform:Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Vai a questo file di cartella compressa su GitHub. Quindi Seleziona Scarica per scaricarlo. Estrai il file di cartelle compresse in un computer in una posizione in cui puoi eseguire i comandi di PowerShell. Tutti i file e le cartelle estratti da una cartella compressa devono essere conservati nella loro posizione originale.
  • Ti consigliamo di creare un nuovo contenitore di archiviazione nello stesso gruppo di risorse di Azure per eseguire l'onboarding di questa funzionalità.

Abilita i criteri aziendali per la sottoscrizione di Azure selezionata

Importante

Per completare questo attività, devi avere il ruolo di proprietario dell'abbonamento Azure. Ottieni il tuo Azure ID abbonamento dalla pagina di panoramica per il gruppo di risorse Azure.

  1. Apri Azure CLI con Esegui come amministratore e accedi al tuo abbonamento Azure utilizzando il comando: az login Ulteriori informazioni: accedi con Azure CLI
  2. (Facoltativo) se hai più abbonamenti Azure, assicurati di eseguire Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } per aggiornare l'abbonamento predefinito.
  3. Espandi la cartella compressa scaricata come parte della Prima di iniziare per questa funzionalità in una posizione in cui puoi eseguire PowerShell.
  4. Per abilitare il criterio aziendale per l'abbonamento Azure selezionato, eseguire lo script PowerShell ./SetupSubscriptionForPowerPlatform.ps1.
    • Immetti l'ID sottoscrizione di Azure.

Crea un criterio aziendale

Importante

Per completare questo attività, devi avere l'accesso al ruolo di Proprietario del gruppo di risorse Azure. Ottieni il tuo Azure ID abbonamento, Posizione e nome del gruppo di risorse dalla pagina di panoramica del gruppo di risorse Azure.

  1. Crea il criterio aziendale. Esegui lo script PowerShell ./CreateIdentityEnterprisePolicy.ps1

    • Immetti l'ID sottoscrizione di Azure.
    • Immetti il nome del gruppo di risorse di Azure.
    • Immetti il nome del criterio aziendale preferito.
    • Immetti la posizione del gruppo di risorse di Azure.

  2. Salvare la copia di ResourceId dopo la creazione della policy.

Nota

Di seguito sono riportati gli input validi posizione supportati per la creazione di policy. Seleziona la posizione per te più appropriata.

Posizioni disponibili per il criterio aziendale

Stati Uniti EUAP

Stati Uniti

Sudafrica

Regno Unito

Australia

Corea del Sud

Giappone

India

Francia

Europa

Asia

Norvegia

Germania

Svizzera

Canada

Brasile

UAE

Singapore

Concedere l'accesso come lettore al criterio aziendale tramite Azure

Gli amministratori Dynamics 365 e Power Platform gli amministratori possono accedere a Power Platform interfaccia di amministrazione per assegnare ambienti alla policy aziendale. Per accedere alle policy aziendali, è richiesta l'appartenenza all'amministratore del Key vault Azure per concedere il ruolo Lettore all'amministratore Dynamics 365 o Power Platform . Una volta concesso il ruolo Lettore, gli amministratori Dynamics 365 o Power Platform vedranno le policy aziendali su Power Platform interfaccia di amministrazione.

Solo gli amministratori di Power Platform e Dynamics 365 a cui è stato concesso il ruolo Lettore per il criterio aziendale possono "aggiungere un ambiente" al criterio. Altri amministratori di Dynamics 365 e PowerPlatform potrebbero essere in grado di visualizzare il criterio aziendale, ma vedranno un messaggio di errore quando provano ad aggiungere l'ambiente.

Importante

Devi avere - Microsoft.Authorization/roleAssignments/write autorizzazioni, come Accesso utente amministratore o Proprietario per completare questo attività.

  1. Accedi al portale di Azure.
  2. Ottieni l'ObjectID Power Platform dell'utente amministratore Dynamics 365.
    1. Vai all'area Utenti .
    2. Apri l'utente amministratore di Dynamics 365 o Power Platform.
    3. Nella pagina di panoramica dell'utente, copia ObjectID.
  3. Ottieni l'ID delle policy aziendali:
    1. Vai a Azure Resource Graph explorer.
    2. Esegui questa query: resources | where type == 'microsoft.powerplatform/enterprisepolicies'Esegui query da Azure Risorsa Graph explorer
    3. Scorri verso destra la pagina dei risultati e Seleziona Vedi dettagli collegare.
    4. Nella pagina Dettagli , copia l'ID.
  4. Aprire Azure CLI ed eseguire il seguente comando, sostituendo <objId> con l' ObjectID dell'utente e <EP Resource Id> con l'ID della policy aziendale.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Connettere un criterio aziendale all'ambiente Dataverse

Importante

Devi avere il ruolo Power Platform amministratore or Dynamics 365 amministratore per completare questo attività. Per completare questo attività, è necessario disporre del ruolo Lettore per la policy aziendale.

  1. Ottieni l'ID ambiente Dataverse.
    1. Accedi a Power Platform interfaccia di amministrazione.
    2. Seleziona Ambienti, quindi apri ambiente.
    3. Nella sezione Dettagli , copia l' ID ambiente.
    4. Per collegare in Dataverse ambiente, esegui questo script PowerShell: ./NewIdentity.ps1
    5. Immetti l'ID ambiente Dataverse.
    6. Fornire il ResourceId.
      StatusCode = 202 indica che collegare è stato creato correttamente.
  2. Accedi a Power Platform interfaccia di amministrazione.
  3. Seleziona Ambienti, quindi apri il file ambiente specificato in precedenza.
  4. Nell'area Operazioni recenti , Seleziona Cronologia completa per convalidare la connessione della nuova identità.

Configurare l'accesso di rete per Azure Data Lake Storage Gen2

Importante

Per completare questo attività devi avere il ruolo di Azure Data Lake Storage Proprietario Gen2 .

  1. Vai al portale di Azure.

  2. Apri l'account di archiviazione connesso al tuo profilo Azure Synapse Link for Dataverse.

  3. Nel riquadro di navigazione a sinistra, Seleziona Networking. Quindi, nella scheda Firewall e reti virtuali Seleziona le seguenti impostazioni:

    1. Abilitato da reti virtuali e indirizzi IP selezionati.
    2. In Istanze di risorse, Seleziona Allow Azure servizi nell'elenco dei servizi attendibili per accedere a questo account di archiviazione

  4. Seleziona Salva.

Configurare l'accesso di rete a Azure Synapse workspace

Importante

Devi avere un ruolo Azure Synapse amministratore per completare questo attività.

  1. Vai al portale di Azure.
  2. Apri Azure Synapse workspace connesso al tuo profilo Azure Synapse Link for Dataverse.
  3. Nel riquadro di navigazione a sinistra, Seleziona Networking.
  4. Seleziona Allow Azure servizi e risorse per accedere a questo spazio di lavoro.
  5. Se sono state create delle regole del firewall IP per tutti gli intervalli IP, eliminarle per limitare l'accesso alla rete pubblica. Azure Synapse impostazioni di rete dell'area di lavoro
  6. Aggiungere una nuova regola del firewall IP basata sull'indirizzo IP del client.
  7. Al termine selezionare Salva. Ulteriori informazioni: Azure Synapse Analytics Regole del firewall IP

Importante

Dataverse: èè necessario disporre del ruolo di sicurezza di amministratore di sistema Dataverse. Inoltre, le tabelle che desideri esportare tramite Azure Synapse Link devono avere la proprietà Traccia modifiche abilitata. Altre informazioni: Opzioni avanzate

Azure Data Lake Storage Gen2: devi avere un account Azure Data Lake Storage Gen2 e accedere con il ruolo Proprietario e Collaboratore dati BLOB di archiviazione. L'account di archiviazione deve abilitare Spazio dei nomi gerarchico sia per la configurazione iniziale che per la sincronizzazione delta. Consenti l'accesso alla chiave dell'account di archiviazione è obbligatorio solo per la configurazione iniziale.

Area di lavoro Synapse: devi avere un'area di lavoro Synapse e accedere con il ruolo Amministratore Synapse in Synapse Studio. L'area di lavoro Synapse deve trovarsi nella stessa area geografica del tuo accocunt Azure Data Lake Storage Gen2. L'account di archiviazione deve essere aggiunto come servizio collegato all'interno di Synapse Studio. Per creare un'area di lavoro Synapse, vai a Creazione di un'area di lavoro Synapse.

Quando crei il collegamento, Azure Synapse Link for Dataverse ottiene i dettagli sul criterio aziendale attualmente collegato nell'ambiente Dataverse, quindi memorizza nella cache l'URL del segreto del client di identità per la connessione ad Azure.

  1. accedi Power Apps e Seleziona il tuo ambiente.
  2. Nel riquadro di navigazione a sinistra, Seleziona Azure Synapse Link, quindi Seleziona + Nuovo collegare. Se l'elemento non si trova nel riquadro del pannello laterale, seleziona …Altro, quindi l'elemento desiderato.
  3. Compilare i campi appropriati in base alla configurazione desiderata. Seleziona Sottoscrizione, Gruppo di risorse e Account di archiviazione. Per Connetti Dataverse nell'area di lavoro Synapse, Seleziona l'opzione Connetti nella tua Azure Synapse area di lavoro . Per la conversione dei dati di Delta Lake Seleziona un pool Spark.
  4. Seleziona Seleziona Criterio aziendale con identità del servizio gestito, quindi Seleziona Avanti.
  5. Aggiungi le tabelle che desideri esportare, quindi seleziona Salva.

Nota

Per rendere disponibile il comando Usa identità gestita in Power Apps, è necessario completare la configurazione precedente per Connetti i criteri aziendali nel proprio Dataverse ambiente. Ulteriori informazioni: Connetti policy aziendale per Dataverse ambiente

  1. Vai a un profilo Synapse Link esistente da Power Apps (make.powerapps.com).
  2. Seleziona Utilizza identità gestita, quindi conferma. Utilizzare il comando identità gestita in Power Apps

Risoluzione dei problemi

Se vengono visualizzati errori 403 durante la creazione del collegamento:

  • Le identità gestite impiegano più tempo per concedere autorizzazioni temporanee durante la sincronizzazione iniziale. Attendi e riprova l'operazione più tardi.
  • Assicurarsi che l'archivio collegato non abbia il contenitore esistente Dataverse (dataverse-environmentName-organizationUniqueName) dallo stesso ambiente.
  • È possibile identificare la policy aziendale collegata eseguendo lo script PowerShell con l'ID sottoscrizione Azure e il nome del gruppo di risorse. policyArmId ./GetIdentityEnterprisePolicyforEnvironment.ps1
  • È possibile scollegare la policy aziendale eseguendo lo script PowerShell ./RevertIdentity.ps1 con l'ID Dataverse ambiente e policyArmId.
  • È possibile rimuovere il criterio aziendale eseguendo lo script PowerShell .\RemoveIdentityEnterprisePolicy.ps1 con policyArmId.

Limitazione nota

Solo un criterio aziendale può connettersi contemporaneamente all'ambiente Dataverse. Se è necessario creare più collegamenti Azure Synapse Link con l'identità gestita abilitata, assicurati che tutte le risorse di Azure collegate si trovino nello stesso gruppo di risorse.

Vedi anche

Che cos'è Azure Synapse Link for Dataverse?