Восстановление рабочей области Synapse Analytics после перемещения подписки в другой каталог (клиент) Microsoft Entra

2025-04-09

В этой статье описывается, как восстановить рабочую область Synapse Analytics после передачи подписки в другой каталог Microsoft Entra. Рабочая область Synapse Analytics не будет доступна после передачи подписки в другой каталог Microsoft Entra (клиент).

При попытке запустить студию Synapse после перемещения появится сообщение об ошибке : "Не удалось загрузить один или несколько ресурсов из-за отсутствия доступа, кода ошибки 403".

Снимок экрана: Ошибка Synapse Studio 403 после миграции клиента.

Выполните действия, описанные в этой статье, после переноса подписки между арендаторами, чтобы восстановить рабочую область Synapse Analytics.

Перенос подписки в другой каталог Microsoft Entra (клиент) — это сложный процесс, который необходимо тщательно планировать и выполнять. Azure Synapse Analytics требует субъектов безопасности (идентификаторов) для нормальной работы. При перемещении подписки к другому арендатору, все основные идентификаторы изменяются, назначения ролей удаляются из ресурса Azure, а управляемые системой удостоверения сбрасываются.

Сведения о влиянии передачи подписки другому клиенту см. в статье "Передача подписки Azure в другой каталог Microsoft Entra"

В этой статье рассматриваются этапы восстановления рабочей области Synapse Analytics после перемещения подписки между арендаторами.

Предварительные требования

Дополнительные сведения о службе или ресурсах, затронутых перемещением клиента, см. в статье "Передача подписки Azure в другой каталог Microsoft Entra".
Сохраните все ролевые назначения для пользователей, групп и управляемых удостоверений Microsoft Entra. Эти сведения можно использовать для назначения необходимых разрешений для ресурсов Azure, таких как Azure Synapse Analytics и ADLS 2-го поколения после перемещения клиента. См . шаг 1. Подготовка к передаче
Сохраните все разрешения, необходимые для пользователей Microsoft Entra в выделенном и бессерверном пуле SQL. Пользователи Microsoft Entra будут удалены из выделенных и бессерверных пулов SQL после перемещения клиента.

Действия по восстановлению рабочей области Synapse Analytics

После перемещения подписки к другому арендатору выполните следующие действия, чтобы восстановить рабочее пространство Azure Synapse Analytics.

Отключите и снова включите системное управляемое удостоверение. Дополнительные сведения см. в разделе ниже в этой статье.
Назначьте нужным пользователям, группам и управляемым удостоверениям Microsoft Entra разрешения Azure RBAC (управление доступом на основе ролей) для доступа к рабочей области Synapse Analytics и требуемым ресурсам Azure.
Задайте администратора SQL Active Directory.
Создайте заново пользователей и группы Microsoft Entra в новом клиенте Microsoft Entra для выделенных и бессерверных пулов SQL, основываясь на их эквивалентных пользователях и группах.
Назначьте пользователям и группам Microsoft Entra роли RBAC Azure для рабочей области Synapse Analytics. Этот шаг должен быть первым шагом после восстановления рабочей области. Без этого шага запуск Synapse Studio выдаст сообщения об ошибке 403 из-за того, что пользователи Microsoft Entra не имеют разрешений для рабочей области.
```
{"error":{"code":"Unauthorized","message":"The principal '<subscriptionid>' does not    have the required Synapse RBAC permission to perform this action. Required permission:    Action: Microsoft.Synapse/workspaces/read, Scope: workspaces/tenantmove-ws-1/*."}}
```
Назначьте пользователям, группам и представителям служб Microsoft Entra роли Azure RBAC для доступа ко всем ресурсам, используемым в артефактах рабочей области, например, ADLS Gen2. Дополнительные сведения об Azure RBAC в ADLS Gen2 см. в разделе "Что такое управление доступом на основе ролей в Azure (Azure RBAC)?".
Добавьте назначения ролей RBAC Synapse пользователям и группам Microsoft Entra. Дополнительные сведения см. в разделе "Управление назначениями ролей RBAC для Synapse в Synapse Studio"
Повторно создайте все имена входа и пользователей Microsoft Entra в выделенном и бессерверном пуле SQL. Дополнительные сведения см. в разделе "Проверка подлинности SQL в Azure Synapse Analytics"
Повторно создайте все пользовательски назначенные управляемые удостоверения и назначьте пользовательски назначенное управляемое удостоверение рабочей области Synapse Analytics. Дополнительные сведения см. в разделе "Учетные данные в Фабрике данных Azure и Azure Synapse"

Примечание.

Убедитесь, что следующие шаги выполняются только после успешного перемещения подписки в учетную запись другого клиента.

Отключите и снова включите системное управляемое удостоверение для рабочей области Synapse Analytics.

В этом разделе показано, как использовать Azure CLI или Azure PowerShell для отключения и повторного включения системно назначенного управляемого удостоверения для рабочей области Azure Synapse Analytics. Рассмотрим следующие действия в Azure CLI или Azure PowerShell.

Azure CLI
Azure PowerShell

$resourceGroupName="Provide the Resource group name"
$workspaceName="Provide the workspace name"
$subscriptionId="Provide the subscription Id"

$url = "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Synapse/workspaces/$workspaceName\?api-version=2021-06-01"

Следующий пример отключает назначенную системой управляемую идентичность для рабочей области.

az rest --method patch --headers  Content-Type=application/json   `
--url  $url `
--body '{ \"identity\":{\"type\":\"None\"}}'

Рабочая область provisioningState должна быть в состоянии 'Успех', и тип удостоверения должен быть 'Отсутствует' после выполнения предыдущей команды. Если вы выполните следующую команду, значение provisioningState может отображаться как "Подготовка", и потребуется несколько минут, чтобы изменить статус на "Успешно". provisioningState Значение должно быть «Успешно» прежде чем повторно включать назначенное системой управляемое удостоверение для рабочей области.

Чтобы получить состояние рабочей области для получения состояния подготовки и типа удостоверения, используйте следующий фрагмент кода:

az rest --method GET --uri $uri

Результирующий код JSON должен быть похож на следующий:

   {
  "id": "/subscriptions/<subscriptionid>/resourceGroups/TenantMove-RG/providers/Microsoft Synapse/workspaces/tenantmove-ws",
  "identity": {
    "type": "None"
  },
  "location": "eastus",
  "name": "tenantmove-ws",
  "properties": {
    "connectivityEndpoints": {
      "dev": "https://tenantmove-ws.dev.azuresynapse.net",
      "sql": "tenantmove-ws.sql.azuresynapse.net",
      "sqlOnDemand": "tenantmove-ws-ondemand.sql.azuresynapse.net",
      "web": "https://web.azuresynapse.net?workspace=%2fsubscriptions%2<subscriptionid>b%2fresourceGroups%2fTenantMove-RG%2fproviders%2fMicrosoft.Synapse%2fworkspaces%2ftenantmove-ws"
    },
    "cspWorkspaceAdminProperties": {
      "initialWorkspaceAdminObjectId": "<object id>"
    },
    "defaultDataLakeStorage": {
      "accountUrl": "https://tenantmovedemowsstorage.dfs.core.windows.net",
      "filesystem": "demo",
      "resourceId": "/subscriptions/<subscriptionid>/resourceGroups/TenantMove-RG/providers/Microsoft.Storage/storageAccounts/tenantmovedemowsstorage"
    },
    "encryption": {
      "doubleEncryptionEnabled": false
    },
    "extraProperties": {
      "WorkspaceType": "Normal"
    },
    "managedResourceGroupName": "tenantmove-ws-managed-rg",
    "privateEndpointConnections": [],
    "provisioningState": "Succeeded",
    "publicNetworkAccess": "Enabled",
    "sqlAdministratorLogin": "sqladminuser",
    "trustedServiceBypassEnabled": false,
    "workspaceUID": "<workspace UID>"
  },
  "resourceGroup": "TenantMove-RG",
  "tags": {},
  "type": "Microsoft.Synapse/workspaces"
}

Следующая команда вновь активирует управляемое удостоверение, назначенное системой для рабочей области.

az rest --method patch --headers  Content-Type=application/json   `
--url  $url `
--body '{ \"identity\":{\"type\":\"SystemAssigned\"}}'

Следующая команда покажет статус рабочей области. Значение provisioningState должно быть успешно выполнено. Значение provisioningState изменится с "Подготовка" на "Успешно". Тип идентификатора будет изменен на SystemAssigned.

az rest --method GET --uri $uri

Connect-AzAccount
$subscriptionId="Provide the subscription ID (GUID) of the subscription containing your Azure Synapse Analytics workspace"
$resourceGroupName="Provide the name of the resource group containing your workspace"
$workspaceName="Provide the name of your workspace"

$contentType = 'application/json'

$token = (Get-AzAccessToken -ResourceUrl "https://management.azure.com/").Token
$header = @{Authorization="Bearer $token"}

$url = "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Synapse/workspaces/$workspaceName\?api-version=2021-06-01"

Команда ниже покажет состояние рабочей области.

(Invoke-WebRequest -Method GET -Uri $url -ContentType $contentType -Headers $header).Content|ConvertFrom-Json

Снимок экрана состояния рабочей области в PowerShell.

Выполните следующую команду, чтобы отключить системно назначенное управляемое удостоверение для области работы.

$bodyJson = @{identity= @{type='None'}}| ConvertTo-Json
Invoke-RestMethod -Method PATCH -Uri $url -ContentType $contentType -Headers $header -Body  $bodyJson;

Снимок экрана: отключение SAMI PowerShell.

На предыдущем снимке экрана значение provisioningState — это Provisioning, а не Succeeded. Для изменения состояния на "Успешно" требуется несколько минут. Прежде чем повторно включить системное управляемое удостоверение для рабочей области, значение provisioningState должно завершиться успешно.

Выполните следующую команду, чтобы повторно включить системное управляемое удостоверение для рабочей области.

$bodyJson = @{identity= @{type='SystemAssigned'}}| ConvertTo-Json

Invoke-RestMethod -Method PATCH -Uri $url -ContentType $contentType -Headers $header -Body  $bodyJson

Выполните следующую команду, чтобы проверить значение provisioningState и тип идентификации для рабочей области.

(Invoke-WebRequest -Method GET -Uri $url -ContentType $contentType -Headers $header).Content|ConvertFrom-Json

Снимок экрана типа удостоверения, назначенного системой.

Поделиться через

Восстановление рабочей области Synapse Analytics после перемещения подписки в другой каталог (клиент) Microsoft Entra

Предварительные требования

Действия по восстановлению рабочей области Synapse Analytics

Отключите и снова включите системное управляемое удостоверение для рабочей области Synapse Analytics.

Дальнейшие действия

Обратная связь

Дополнительные ресурсы