Arbeitsbereich-Identität
Eine Fabric-Arbeitsbereich-Identität ist ein automatisch verwalteter Dienstprinzipal, der einem Fabric-Arbeitsbereich zugeordnet werden kann. Fabric-Workspaces mit einer Arbeitsbereich-Identität können über den vertrauenswürdigen Zugang zum Arbeitsbereich für OneLake-Verknüpfungen sicher auf Firewall-aktivierte Azure Data Lake Storage Gen2-Konten lesen oder schreiben. In Zukunft können Fabric-Elemente die Identität verwenden, wenn Sie eine Verbindung mit Ressourcen herstellen, die die Microsoft Entra-Authentifizierung unterstützen. Fabric verwendet Arbeitsbereich-Identitäten, um Microsoft Entra-Token abzurufen, ohne dass der Kunde Anmeldeinformationen verwalten muss.
Arbeitsbereich-Identitäten können in den Arbeitsbereichseinstellungen von Arbeitsbereichen erstellt werden, die einer Fabric-Kapazität zugeordnet sind. Einer Arbeitsbereich-Identität wird automatisch die Rolle des Arbeitsbereich-Mitarbeiters zugewiesen und sie hat Zugriff auf Elemente des Arbeitsbereichs.
Wenn Sie eine Arbeitsbereich-Identität erstellen, erstellt Fabric einen Dienstprinzipal in Microsoft Entra ID, um die Identität zu sichern. Außerdem wird eine begleitende App-Registrierung erstellt. Fabric verwaltet automatisch die Anmeldeinformationen, die Arbeitsbereich-Identitäten zugeordnet sind, wodurch Anmeldedatenlecks und Ausfallzeiten aufgrund einer unsachgemäßen Verarbeitung von Anmeldeinformationen verhindert werden.
Hinweis
Fabric-Arbeitsbereichsidentität ist allgemein verfügbar. Sie können nur eine Arbeitsbereich-Identität in F64 oder höheren Kapazitäten erstellen. Informationen zum Kauf eines Fabric-Abonnements finden Sie unter Kaufen eines Microsoft Fabric-Abonnements.
Während Fabric Arbeitsbereich-Identitäten einige Ähnlichkeiten mit verwalteten Azure-Identitäten aufweisen, sind ihr Lebenszyklus, ihre Verwaltung und ihre Administration unterschiedlich. Eine Arbeitsbereich-Identität verfügt über einen unabhängigen Lebenszyklus, der vollständig in Fabric verwaltet wird. Ein Fabric-Arbeitsbereich kann optional einer Identität zugeordnet werden. Wenn der Arbeitsbereich gelöscht wird, wird auch die Identität gelöscht. Der Name der Arbeitsbereich-Identität ist immer identisch mit dem Namen des Arbeitsbereichs, dem er zugeordnet ist.
Erstellen und Verwalten einer Arbeitsbereich-Identität
Sie müssen ein Administrator des Arbeitsbereichs sein, um eine Arbeitsbereich-Identität erstellen und verwalten zu können. Dem Arbeitsbereich, für den Sie die Identität erstellen, muss eine Fabric F64-Kapazität oder höher zugeordnet sein.
- Navigieren Sie zum Arbeitsbereich, und öffnen Sie die Einstellungen des Arbeitsbereichs.
- Wählen Sie die Tab Arbeitsbereich-Identität aus.
- Wählen Sie die Taste + Arbeitsbereich-Identität.
Wenn die Arbeitsbereich-Identität erstellt wurde, zeigt die Registerkarte die Details der Arbeitsbereich-Identität und die Liste der autorisierten Benutzer an und ermöglicht es Ihnen, die Identität mit vom Kunden bereitgestellten Endpunkten und benutzerdefiniertem Code zu verwenden.
Die Methoden zum Konfigurieren der Arbeitsbereich-Identität werden in den folgenden Abschnitten beschrieben.
Identitätsdetails
| Detail | Beschreibung |
|---|---|
| Name | Name der Arbeitsbereich-Identität. Die Arbeitsbereich-Identität trägt denselben Namen wie der Arbeitsbereich. |
| ID | Die Arbeitsbereich-Identität GUID. Dies ist ein eindeutiger Bezeichner der Identität. |
| Rolle | Die Rolle im Arbeitsbereich, die der Identität zugewiesen ist. Arbeitsbereichs-Identitäten wird beim Erstellen automatisch die Rolle des Mitwirkenden zugewiesen. |
| State | Der Status des Arbeitsbereichs. Mögliche Werte: Aktiv, Inaktiv, Löschen, nicht verwendbar, fehlgeschlagen, Löschen gescheitert |
Autorisierte Benutzer
Weitere Informationen finden Sie unter Access Control.
Löschen einer Arbeitsbereich-Identität
Wenn eine Identität gelöscht wird, werden Fabric-Elemente, die sich auf die Arbeitsbereich-Identität für den vertrauenswürdigen Zugriff auf den Arbeitsbereich oder die Authentifizierung verlassen, nicht mehr funktionieren. Gelöschte Arbeitsbereich-Identitäten können nicht wiederhergestellt werden.
Hinweis
Wenn ein Arbeitsbereich gelöscht wird, wird auch die Arbeitsbereich-Identität gelöscht. wird auch die Arbeitsbereich-Identität gelöscht. Wenn der Arbeitsbereich nach dem Löschen wiederhergestellt wird, wird die Arbeitsbereich-Identität nicht wiederhergestellt. Wenn der wiederhergestellte Arbeitsbereich über eine Arbeitsbereich-Identität verfügen soll, müssen Sie eine neue erstellen.
Verwenden der Arbeitsbereich-Identität
Verknüpfungen in einem Arbeitsbereich, der über eine Arbeitsbereich-Identität verfügt, können für den vertrauenswürdigen Dienstzugriff verwendet werden. Weitere Informationen finden Sie unter Vertrauenswürdiger Zugriff auf den Arbeitsbereich.
Sicherheit, Verwaltung und Management der Arbeitsbereich-Identität
In den folgenden Abschnitten wird beschrieben, wer die Arbeitsbereich-Identität verwenden kann und wie Sie sie in Microsoft Purview und Azure überwachen können.
Zugriffssteuerung
Arbeitsbereich-Identität kann von Administratoren des Arbeitsbereichs erstellt und gelöscht werden. Die Arbeitsbereich-Identität weist die Rolle des Arbeitsbereich-Mitwirkenden im Arbeitsbereich auf.
Derzeit wird die Arbeitsbereich-Identität für die Authentifizierung für Ressourcen in Verbindungen nicht unterstützt. Die Authentifizierung für Zielressourcen von Verbindungen wird in Zukunft unterstützt werden. Administratoren, Mitglieder und Mitwirkende können die Arbeitsbereich-Identität in Zukunft bei Verbindungen verwenden.
In Zukunft können Arbeitsbereich-Administratoren die Verwendung der Arbeitsbereich-Identität in Verbindungen mit benutzerdefiniertem Code wie Spark-Notebooks und in Datenpipelines mit vom Kunden bereitgestellten Endpunkten aktivieren. Beispiele sind Datenpipelines mit Webaktivitäten und Webhook-Aktivitäten.
Anwendungs-Administratoren oder Benutzer mit höheren Rollen können den Dienstprinzipal und die App-Registrierung anzeigen, ändern und löschen, die der Arbeitsbereich-Identität in Azure zugeordnet ist.
Warnung
Das Ändern oder Löschen der Dienstprinzipal- oder App-Registrierung in Azure wird nicht empfohlen, da Fabric-Elemente, die sich auf die Arbeitsbereich-Identität verlassen, nicht mehr funktionieren.
Verwalten der Arbeitsbereich-Identität in Purview
Sie können die Prüfereignisse, die bei der Erstellung und Löschung von Arbeitsbereich-Identitäten generiert werden, im Purview Überwachungsprotokoll einsehen. Um auf das Protokoll zuzugreifen
- Navigieren Sie zum Microsoft Purview-Hub.
- Wählen Sie die Kachel Überwachung.
- Verwenden Sie in dem daraufhin angezeigten Überwachungsformular das Feld Aktivitäten - Friendly Names für die Suche nach Fabric-Identitäten, um die mit den Arbeitsbereich-Identitäten verbundenen Aktivitäten zu finden. Derzeit gibt es folgende Aktivitäten in Verbindung mit der Arbeitsbereich-Identität:
- Fabric-Identität für Arbeitsbereich erstellt
- Fabric-Identität für Arbeitsbereich abgerufen
- Fabric-Identität für Arbeitsbereich gelöscht
- Fabric-Identität Token für Arbeitsbereich abgerufen
Verwalten der Arbeitsbereich-Identität in Azure
Die Anwendung, die der Arbeitsbereich-Identität zugeordnet ist, kann sowohl unter Enterprise-Anwendungen als auch unter App-Registrierungen im Azure-Portal angezeigt werden.
Unternehmensanwendungen
Die Anwendung, die der Arbeitsbereich-Identität zugeordnet ist, kann unter Enterprise-Anwendungen im Azure-Portal angezeigt werden. Die Fabric Identity Management-App ist der Eigentümer der Konfiguration.
Warnung
Änderungen an der Anwendung, die hier vorgenommen werden, führen dazu, dass die Arbeitsbereich-Identität nicht mehr funktioniert.
So zeigen Sie die Überwachungsprotokolle und Anmeldeprotokolle für diese Identität an:
- Melden Sie sich beim Azure-Portal an.
- Navigieren Sie zu Microsoft Entra ID > Enterprise Anwendungen.
- Wählen Sie entweder Überwachungsprotokolle oder Anmeldeprotokolle nach Bedarf aus.
App-Registrierungen
Die Anwendung, die der Arbeitsbereich-Identität zugeordnet ist, kann unter App-Registrierungen im Azure-Portal angezeigt werden. Dort sollten keine Änderungen vorgenommen werden, da dadurch die Arbeitsbereich-Identität nicht mehr funktioniert.
Erweiterte Szenarios
In den folgenden Abschnitten werden Szenarien mit Arbeitsbereich-Identitäten beschrieben, die auftreten können.
Löschen der Identität
Die Arbeitsbereich-Identität kann in den Einstellungen des Arbeitsbereichs gelöscht werden. Wenn eine Identität gelöscht wird, werden Fabric-Elemente, die sich auf die Arbeitsbereich-Identität für den vertrauenswürdigen Zugriff auf den Arbeitsbereich oder die Authentifizierung verlassen, nicht mehr funktionieren. Gelöschte Arbeitsbereich-Identitäten können nicht wiederhergestellt werden.
Wenn ein Arbeitsbereich gelöscht wird, wird auch die Arbeitsbereich-Identität gelöscht. Wenn der Arbeitsbereich nach dem Löschen wiederhergestellt wird, wird die Arbeitsbereich-Identität nicht wiederhergestellt. Wenn der wiederhergestellte Arbeitsbereich über eine Arbeitsbereich-Identität verfügen soll, müssen Sie eine neue erstellen.
Umbenennen des Arbeitsbereichs
Wenn ein Arbeitsbereich umbenannt wird, wird auch die Arbeitsbereich-Identität entsprechend dem Namen des Arbeitsbereichs umbenannt. Die Entra-Anwendung und das Dienstprinzipal bleiben jedoch unverändert. Beachten Sie, dass mehrere Anwendungs- und App-Registrierungsobjekte mit demselben Namen in einem Mandanten vorhanden sein können.
Überlegungen und Einschränkungen
- Eine Arbeitsbereich-Identität kann nur in Arbeitsbereichen erstellt werden, die einer Fabric F64+-Kapazität zugeordnet sind. Informationen zum Kauf eines Fabric-Abonnements finden Sie unter Kaufen eines Microsoft Fabric-Abonnements.
- Wenn ein Arbeitsbereich mit einer Arbeitsbereich-Identität auf eine Nicht-Fabric oder eine Kapazität kleiner als F64 migriert wird, wird die Identität nicht deaktiviert oder gelöscht, aber Fabric-Elemente, die auf die Arbeitsbereich-Identität angewiesen sind, funktionieren nicht mehr.
- In einem Mandanten können maximal 1.000 Arbeitsbereich-Identitäten angelegt werden. Sobald dieser Grenzwert erreicht ist, müssen Arbeitsbereich-Identitäten gelöscht werden, damit neuere erstellt werden können.
- Azure Data Lake Storage Gen2-Verknüpfungen in einem Arbeitsbereich, der über eine Arbeitsbereich-Identität verfügt, sind in der Lage, vertrauenswürdigen Dienstzugriff zu erhalten.
Problembehandlung bei der Erstellung einer Arbeitsbereich-Identität
Wenn Sie keine Arbeitsbereich-Identität erstellen können, da die Schaltfläche zum Erstellen deaktiviert ist, stellen Sie sicher, dass Sie über die Rolle des Arbeitsbereich-Administrators verfügen und dass der Arbeitsbereich einer Fabric F64+-Kapazität zugeordnet ist.
Wenn beim ersten Erstellen einer Arbeitsbereich-Identität in Ihrem Mandanten Probleme auftreten, führen Sie die folgenden Schritte aus:
- Wenn der Identitätsstatus des Arbeitsbereichs fehlgeschlagen ist, warten Sie eine Stunde, und löschen Sie dann die Identität.
- Nachdem die Identität gelöscht wurde, warten Sie 5 Minuten, und erstellen Sie die Identität erneut.
Zugehöriger Inhalt
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für