แชร์ผ่าน

ใช้ข้อมูลประจำตัวที่ได้รับการจัดการสำหรับ Azure กับ Azure Data Lake Storage ของคุณ

Azure Data Lake Storage ให้โมเดลความปลอดภัยแบบเลเยอร์ โมเดลนี้ช่วยให้คุณสามารถรักษาความปลอดภัยและควบคุมระดับการเข้าถึงบัญชีที่เก็บข้อมูลของคุณตามที่แอปพลิเคชันและสภาพแวดล้อมขององค์กรต้องการ โดยขึ้นอยู่กับชนิดและชุดย่อยของเครือข่ายหรือทรัพยากรที่ใช้ เมื่อมีการกำหนดค่ากฎเครือข่าย เฉพาะแอปพลิเคชันที่ร้องขอข้อมูลผ่านชุดเครือข่ายที่ระบุหรือผ่านชุดทรัพยากร Azure ที่ระบุเท่านั้นที่สามารถเข้าถึงบัญชีที่เก็บข้อมูลได้ คุณสามารถจำกัดการเข้าถึงบัญชีที่เก็บข้อมูลของคุณเฉพาะคำขอที่มาจากที่อยู่ IP ช่วง IP เครือข่ายย่อยใน Azure Virtual Network (VNet) หรืออินสแตนซ์ทรัพยากรของบริการ Azure บางอย่าง

ข้อมูลประจำตัวที่มีการจัดการสำหรับ Azure ซึ่งเดิมเรียกว่า Managed Service Identity (MSI) ช่วยในการจัดการข้อมูลลับ ลูกค้า Microsoft Dataverse ที่ใช้ความสามารถของ Azure จะสร้างข้อมูลประจำตัวที่มีการจัดการ (ส่วนหนึ่งของการสร้างนโยบายองค์กร) ที่สามารถใช้ได้ตั้งแต่หนึ่งสภาพแวดล้อม Dataverse ขึ้นไป ข้อมูลประจำตัวที่มีการจัดการนี้ซึ่งจะถูกจัดเตรียมในผู้เช่าของคุณจะถูกใช้โดย Dataverse เพื่อเข้าถึงที่จัดเก็บข้อมูลดิบ Azure ของคุณ

ด้วยข้อมูลประจำตัวที่มีการจัดการ การเข้าถึงบัญชีที่เก็บข้อมูลของคุณจะถูกจำกัดเฉพาะคำขอที่มาจากสภาพแวดล้อม Dataverse ที่เกี่ยวข้องกับผู้เช่าของคุณ เมื่อ Dataverse เชื่อมต่อกับที่เก็บข้อมูลในนามของคุณ โดยจะมีข้อมูลบริบทเพิ่มเติมเพื่อพิสูจน์ว่าคำขอนั้นมาจากสภาพแวดล้อมที่ปลอดภัยและเชื่อถือได้ สิ่งนี้ทำให้การจัดเก็บอนุญาต Dataverse ให้เข้าถึงบัญชีที่เก็บข้อมูลของคุณ ข้อมูลประจำตัวที่มีการจัดการใช้เพื่อลงนามในข้อมูลบริบทเพื่อสร้างความน่าเชื่อถือ สิ่งนี้จะเพิ่มความปลอดภัยระดับแอปพลิเคชัน นอกเหนือจากความปลอดภัยของเครือข่ายและโครงสร้างพื้นฐานที่ Azure จัดเตรียมไว้สำหรับการเชื่อมต่อระหว่างบริการ Azure

ก่อนที่คุณจะเริ่มต้น

  • จำเป็นต้องมี Azure CLI บนเครื่องของคุณ ดาวน์โหลดและติดตั้ง
  • คุณต้องมีโมดูล PowerShell ทั้งสองนี้ หากคุณไม่มี ให้เปิด PowerShell แล้วเรียกใช้คำสั่งเหล่านี้:
    • โมดูล Azure Az PowerShell: Install-Module -Name Az
    • โมดูล Azure Az.Resources PowerShell: Install-Module -Name Az.Resources
    • โมดูล PowerShell ผู้ดูแลระบบ Power Platform: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • ไปที่ ไฟล์โฟลเดอร์บีบอัดบน GitHub จากนั้นให้เลือก ดาวน์โหลด เพื่อดาวน์โหลด แยกไฟล์โฟลเดอร์ที่บีบอัดไปยังคอมพิวเตอร์ในตำแหน่งที่คุณสามารถเรียกใช้คำสั่ง PowerShell ไฟล์และโฟลเดอร์ทั้งหมดที่แยกจากโฟลเดอร์ที่บีบอัดควรรักษาไว้ในตำแหน่งเดิม
  • เราขอแนะนำให้คุณสร้างคอนเทนเนอร์ที่เก็บข้อมูลใหม่ภายใต้กลุ่มทรัพยากร Azure เดียวกัน เพื่อใช้งานคุณลักษณะนี้

เปิดใช้งานนโยบายองค์กรสำหรับการสมัครใช้งาน Azure ที่เลือก

สำคัญ

คุณต้องมีการเข้าถึงของบทบาท เจ้าของการสมัครใช้งาน Azure เพื่อทำงานนี้ให้สำเร็จ ขอรับ รหัสการสมัครใช้งาน Azure ของคุณจากหน้าภาพรวมสำหรับกลุ่มทรัพยากร Azure

  1. เปิด Azure CLI โดยเรียกใช้ในฐานะผู้ดูแลระบบ และลงชื่อเข้าใช้การสมัคร Azure ของคุณ โดยใช้คำสั่ง: az login ข้อมูลเพิ่มเติม: ลงชื่อเข้าใช้ด้วย Azure CLI
  2. (ไม่บังคับ) หากคุณมีการสมัครใช้งาน Azure หลายรายการ อย่าลืมเรียกใช้ Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } เพื่ออัปเดตการสมัครใช้งานเริ่มต้นของคุณ
  3. ขยายโฟลเดอร์ที่บีบอัดที่คุณดาวน์โหลดมาเป็นส่วนหนึ่งของ ก่อนที่คุณจะเริ่ม สำหรับคุณลักษณะนี้ไปยังตำแหน่งที่คุณสามารถเรียกใช้ PowerShell
  4. หากต้องการเปิดใช้งานนโยบายองค์กรสำหรับการสมัครใช้งาน Azure ที่เลือก ให้เรียกใช้สคริปต์ PowerShell ./SetupSubscriptionForPowerPlatform.ps1
    • ระบุรหัสการสมัครใช้งาน Azure

สร้างนโยบายองค์กร

สำคัญ

คุณต้องมีการเข้าถึงของบทบาท เจ้าของกลุ่มทรัพยากร Azure เพื่อทำงานนี้ให้สำเร็จ รับ รหัสการสมัครใช้งาน Azure ของคุณ ตำแหน่งที่ตั้ง และชื่อ กลุ่มทรัพยากร จากหน้าภาพรวมสำหรับกลุ่มทรัพยากร Azure

  1. สร้างนโยบายองค์กร เรียกใช้สคริปต์ PowerShell ./CreateIdentityEnterprisePolicy.ps1

    • ระบุรหัสการสมัครใช้งาน Azure
    • ระบุชื่อของกลุ่มทรัพยากร Azure
    • ระบุชื่อนโยบายองค์กรที่ต้องการ
    • ระบุตำแหน่งของกลุ่มทรัพยากร Azure

  2. บันทึกสำเนาของ ResourceId หลังจากสร้างนโยบาย

หมายเหตุ

ต่อไปนี้เป็นสิ่งที่ถูกต้อง รองรับอินพุต ตำแหน่งที่ตั้ง สำหรับการสร้างนโยบาย เลือกตำแหน่งที่ตั้งที่เหมาะสมที่สุดสำหรับคุณ

ตำแหน่งที่พร้อมใช้งานสำหรับนโยบายองค์กร

สหรัฐอเมริกา EUAP

ประเทศสหรัฐอเมริกา

แอฟริกาใต้

สหราชอาณาจักร

ออสเตรเลีย

เกาหลีใต้

ญี่ปุ่น

อินเดีย

ฝรั่งเศส

ยุโรป

เอเชีย

นอร์เวย์

เยอรมนี

สวิตเซอร์แลนด์

แคนาดา

บราซิล

UAE

สิงคโปร์

ให้สิทธิ์ผู้อ่านเข้าถึงนโยบายองค์กรผ่าน Azure

ผู้ดูแลระบบ Dynamics 365 และผู้ดูแลระบบ Power Platform สามารถเข้าถึงศูนย์การจัดการ Power Platform เพื่อกำหนดสภาพแวดล้อมให้กับนโยบายองค์กร ในการเข้าถึงนโยบายองค์กร จำเป็นต้องเป็นสมาชิกผู้ดูแลระบบ Azure Key Vault เพื่อให้ บทบาทผู้อ่าน แก่ผู้ดูแลระบบ Dynamics 365 หรือ Power Platform เมื่อได้รับบทบาทผู้อ่าน ผู้ดูแลระบบ Dynamics 365 หรือ Power Platform จะเห็นนโยบายองค์กรในศูนย์การจัดการ Power Platform

เฉพาะผู้ดูแลระบบ Dynamics 365 และ Power Platform ที่ได้รับบทบาทผู้อ่านในนโยบายองค์กรเท่านั้นที่สามารถ ‘เพิ่มสภาพแวดล้อม’ ให้กับนโยบายได้ ผู้ดูแลระบบ Dynamics 365 และ PowerPlatform คนอื่นๆ อาจสามารถดูนโยบายองค์กรได้ แต่จะได้รับข้อผิดพลาดเมื่อพยายามเพิ่มสภาพแวดล้อม

สำคัญ

คุณต้องมี - สิทธิ์ Microsoft.Authorization/roleAssignments/write เช่น ผู้ดูแลระบบการเข้าถึงของผู้ใช้ หรือ เจ้าของ เพื่อทำงานนี้ให้สำเร็จ

  1. ลงชื่อเข้าใช้พอร์ทัล Azure
  2. รับ ObjectID ของผู้ใช้ผู้ดูแลระบบ Dynamics 365 Power Platform
    1. ไปที่พื้นที่ ผู้ใช้
    2. เปิดผู้ใช้ผู้ดูแลระบบ Dynamics 365 หรือ Power Platform
    3. ภายใต้หน้าภาพรวมสำหรับผู้ใช้ ให้คัดลอก ObjectID
  3. รับรหัสนโยบายองค์กร:
    1. ไปที่ Azure Resource Graph Explorer
    2. เรียกใช้การสอบถาม: resources | where type == 'microsoft.powerplatform/enterprisepolicies'เรียกใช้แบบสอบถามจาก Azure Resource Graph Explorer
    3. เลื่อนไปทางขวาของหน้าผลลัพธ์ และเลือกลิงก์ ดูรายละเอียด
    4. ในหน้า รายละเอียด ให้คัดลอกรหัส
  4. เปิด Azure CLI และเรียกใช้คำสั่งต่อไปนี้ แทนที่ <objId> ด้วย ObjectID ของผู้ใช้ และ <EP Resource Id> ด้วยรหัสนโยบายองค์กร
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

เชื่อมต่อนโยบายองค์กรกับสภาพแวดล้อม Dataverse

สำคัญ

คุณต้องมีบทบาท ผู้ดูแลระบบ Power Platform หรือ ผู้ดูแลระบบ Dynamics 365 เพื่อทำงานนี้ให้สำเร็จ คุณต้องมีบทบาท ผู้อ่าน สำหรับนโยบายองค์กรเพื่อทำงานนี้ให้สำเร็จ

  1. รับรหัสของสภาพแวดล้อม Dataverse
    1. ลงชื่อเข้าใช้ ศูนย์การจัดการ Power Platform
    2. เลือก จัดการ>สภาพแวดล้อม แล้วเปิดสภาพแวดล้อมของคุณ
    3. ในส่วน รายละเอียด ให้คัดลอก รหัสสภาพแวดล้อม
    4. หากต้องการลิงก์ไปสภาพแวดล้อม Dataverse ให้รัน PowerShell script: ./NewIdentity.ps1
    5. ระบุรหัสสภาพแวดล้อม Dataverse
    6. ระบุ ResourceId
      StatusCode = 202 แสดงว่าสร้างลิงก์สำเร็จแล้ว
  2. ลงชื่อเข้าใช้ ศูนย์การจัดการ Power Platform
  3. เลือก จัดการ>สภาพแวดล้อม แล้วเปิดสภาพแวดล้อมที่คุณระบุไว้ก่อนหน้านี้
  4. ในพื้นที่ การดำเนินการล่าสุด ให้เลือก ประวัติแบบเต็ม เพื่อตรวจสอบการเชื่อมต่อข้อมูลประจำตัวใหม่

กำหนดค่าการเข้าถึงเครือข่ายเป็น Azure Data Lake Storage Gen2

สำคัญ

คุณต้องมีบทบาท เจ้าของ Azure Data Lake Storage รุ่น2 เพื่อทำงานนี้ให้สำเร็จ

  1. ไปที่ พอร์ทัล Azure

  2. เปิดบัญชีที่เก็บข้อมูลที่เชื่อมต่อกับโปรไฟล์ Azure Synapse Link สำหรับ Dataverse

  3. บนบานหน้าต่างการนำทางด้านซ้าย เลือก Networking จากนั้นบนแท็บ ไฟร์วอลล์และเครือข่ายเสมือน ให้เลือกการตั้งค่าต่อไปนี้:

    1. เปิดใช้งานจากเครือข่ายเสมือนและที่อยู่ IP ที่เลือก
    2. ภายใต้ อินสแตนซ์ของทรัพยากร เลือก อนุญาตบริการ Azure ในรายการบริการที่เชื่อถือได้เพื่อเข้าถึงบัญชีที่เก็บข้อมูลนี้

  4. เลือก บันทึก

กำหนดค่าการเข้าถึงเครือข่ายเป็น Azure Synapse Workspace

สำคัญ

คุณต้องมีบทบาท ผู้ดูแลระบบ Azure Synapse เพื่อทำงานนี้ให้สำเร็จ

  1. ไปที่ พอร์ทัล Azure
  2. เปิด Azure Synapse workspace ที่เชื่อมต่อกับโปรไฟล์ Azure Synapse Link สำหรับ Dataverse ของคุณ
  3. บนบานหน้าต่างการนำทางด้านซ้าย เลือก Networking
  4. เลือก อนุญาตให้บริการและทรัพยากร Azure เข้าถึงพื้นที่ทำงานนี้
  5. หากมี กฎไฟร์วอลล์ IP ที่สร้างขึ้นสำหรับช่วง IP ทั้งหมด ให้ลบออกเพื่อจำกัดการเข้าถึงจากเครือข่ายสาธารณะ การตั้งค่าเครือข่าย Azure Synapse workspace
  6. เพิ่ม กฎไฟร์วอลล์ IP ใหม่ตามที่อยู่ IP ของไคลเอ็นต์
  7. เลือก บันทึก เมื่อทำเสร็จแล้ว ข้อมูลเพิ่มเติม: กฎไฟร์วอลล์ IP ของ Azure Synapse Analytics

สำคัญ

Dataverse: คุณต้องมีบทบาทความปลอดภัย ผู้ดูแลระบบ Dataverse นอกจากนี้ ตารางที่คุณต้องการส่งออกผ่าน Azure Synapse Link ต้องเปิดใช้งานคุณสมบัติ ติดตามการเปลี่ยนแปลง ข้อมูลเพิ่มเติม: ตัวเลือกขั้นสูง

Azure Data Lake Storage Gen2: คุณต้องมีบัญชี Azure Data Lake Storage Gen2 และการเข้าถึงบทบาท เจ้าของ และ ผู้สนับสนุน Storage Blob Data บัญชีที่เก็บข้อมูลของคุณต้องเปิดใช้งาน เนมสเปซแบบลำดับชั้น สำหรับทั้งการตั้งค่าเริ่มต้นและการซิงค์เดลต้า ต้องการ อนุญาตการเข้าถึงคีย์บัญชีที่เก็บข้อมูล สำหรับการตั้งค่าเริ่มต้นเท่านั้น

พื้นที่ทำงาน Synapse: คุณต้องมีพื้นที่ทำงาน Synapse และการเข้าถึงบทบาท ผู้ดูแลระบบ Synapse ภายใน Synapse Studio พื้นที่ทำงาน Synapse ต้องอยู่ในภูมิภาคเดียวกับบัญชี Azure Data Lake Storage Gen2 ของคุณ ต้องมีการเพิ่มบัญชีที่เก็บข้อมูลเป็นบริการที่เชื่อมโยงภายใน Synapse Studio ในการสร้างพื้นที่ทำงาน Synapse ไปที่ การสร้างพื้นที่ทำงาน Synapse

เมื่อคุณสร้างลิงก์ Azure Synapse Link สำหรับ Dataverse จะได้รับรายละเอียดเกี่ยวกับนโยบายองค์กรที่เชื่อมโยงในปัจจุบันภายใต้สภาพแวดล้อม Dataverse จากนั้นแคช URL ข้อมูลลับของไคลเอ็นต์ข้อมูลประจำตัวเพื่อเชื่อมต่อกับ Azure

  1. ลงชื่อเข้าใช้ Power Apps และเลือกสภาพแวดล้อมของคุณ
  2. ในบานหน้าต่างการนำทางด้านซ้าย เลือก Azure Synapse Link แล้วเลือก + การเชื่อมโยงใหม่ หากรายการไม่อยู่ในบานหน้าต่างแผงด้านข้าง ให้เลือก …เพิ่มเติม แล้วเลือกรายการที่คุณต้องการ
  3. กรอกข้อมูลในฟิลด์ที่เหมาะสมตามการตั้งค่าที่ต้องการ เลือก การสมัครใช้งานกลุ่มทรัพยากร และ บัญชีที่เก็บข้อมูล เมื่อต้องการเชื่อมต่อ Dataverse กับ Synapse workspace ให้เลือกตัวเลือก เชื่อมต่อกับ Azure Synapse workspace ของคุณ สำหรับการแปลงข้อมูล Delta Lake ให้เลือกพูล Spark
  4. เลือก เลือกนโยบายองค์กรที่มีข้อมูลประจำตัวของบริการที่มีการจัดการ จากนั้นเลือก ถัดไป
  5. เพิ่มตารางที่คุณต้องการส่งออก และจากนั้น เลือก บันทึก

หมายเหตุ

เพื่อให้คำสั่ง ใช้ข้อมูลประจำตัวที่มีการจัดการ สามารถใช้ได้ใน Power Apps คุณต้องดำเนินการตั้งค่าด้านบนให้เสร็จสิ้นเพื่อเชื่อมต่อนโยบายองค์กรกับสภาพแวดล้อม Dataverse ของคุณ ข้อมูลเพิ่มเติม: เชื่อมต่อนโยบายองค์กรของคุณกับสภาพแวดล้อม Dataverse

  1. ไปที่โปรไฟล์ Synapse Link ที่มีอยู่จาก Power Apps (make.powerapps.com)
  2. เลือก ใช้ข้อมูลประจำตัวที่มีการจัดการ แล้วยืนยัน ใช้คำสั่งข้อมูลประจำตัวที่มีการจัดการใน Power Apps

การแก้ไขปัญหา

หากคุณได้รับข้อผิดพลาด 403 ระหว่างการสร้างลิงก์:

  • ข้อมูลประจำตัวที่มีการจัดการจะใช้เวลาเพิ่มเติมในการให้สิทธิ์ชั่วคราวระหว่างการซิงค์ครั้งแรก ให้เวลาสักครู่แล้วลองดำเนินการอีกครั้งในภายหลัง
  • ตรวจสอบว่าพื้นที่เก็บข้อมูลที่ลิงก์ไม่มีคอนเทนเนอร์ Dataverse (dataverse-environmentName-organizationUniqueName) ที่มีอยู่จากสภาพแวดล้อมเดียวกัน
  • คุณสามารถระบุนโยบายองค์กรที่เชื่อมโยง และ policyArmId โดยการเรียกใช้สคริปต์ PowerShell ./GetIdentityEnterprisePolicyforEnvironment.ps1 ด้วยชื่อ Azure รหัสการสมัครใช้งาน และ กลุ่มทรัพยากร
  • คุณสามารถยกเลิกการลิงก์นโยบายองค์กรได้โดยการเรียกใช้สคริปต์ PowerShell ./RevertIdentity.ps1 ที่มีรหัสสภาพแวดล้อม Dataverse และ policyArmId
  • คุณสามารถลบนโยบายองค์กรได้โดยการเรียกใช้สคริปต์ PowerShell .\RemoveIdentityEnterprisePolicy.ps1 ที่มี policyArmId

ข้อจำกัดที่ทราบ

นโยบายองค์กรเพียงนโยบายเดียวเท่านั้นที่สามารถเชื่อมต่อกับสภาพแวดล้อม Dataverse พร้อมกันได้ หากคุณต้องการสร้างการเชื่อมโยง Azure Synapse Link หลายรายการที่เปิดใช้ข้อมูลประจำตัวที่มีการจัดการ ให้ตรวจสอบว่าทรัพยากร Azure ที่เชื่อมโยงทั้งหมดอยู่ภายใต้กลุ่มทรัพยากรเดียวกัน

ดูเพิ่มเติม

Azure Synapse Link สำหรับ Dataverse คืออะไร

  • Last updated on