Del via

Arbejdsområdeidentitet

  • Artikel

En Fabric-arbejdsområdeidentitet er en automatisk administreret tjenesteprincipal, der kan knyttes til et Fabric-arbejdsområde. Fabric-arbejdsområder med et arbejdsområdeidentitet kan sikkert læse eller skrive til firewallaktiverede Azure Data Lake Storage Gen2-konti via adgang til arbejdsområder, der er tillid til, for OneLake-genveje. Fabric-elementer kan bruge identiteten, når der oprettes forbindelse til ressourcer, der understøtter Microsoft Entra-godkendelse. Fabric bruger arbejdsområdeidentiteter til at hente Microsoft Entra-tokens, uden at kunden skal administrere legitimationsoplysninger.

Arbejdsområdeidentiteter kan oprettes i arbejdsområdeindstillingerne for alle arbejdsområder undtagen Mine arbejdsområder. Et arbejdsområdeidentitet tildeles automatisk rollen som bidragyder til arbejdsområdet og har adgang til arbejdsområdeelementer.

Når du opretter et arbejdsområdeidentitet, opretter Fabric en tjenesteprincipal i Microsoft Entra ID for at repræsentere identiteten. Der oprettes også en medfølgende appregistrering. Fabric administrerer automatisk de legitimationsoplysninger, der er knyttet til arbejdsområdeidentiteter, hvilket forhindrer lækager af legitimationsoplysninger og nedetid på grund af forkert håndtering af legitimationsoplysninger.

Bemærk

Fabric arbejdsområdeidentitet er generelt tilgængelig. Du kan oprette et arbejdsområdeidentitet i et hvilket som helst arbejdsområde undtagen Mit arbejdsområde.

Selvom Fabric-arbejdsområdeidentiteter deler nogle ligheder med Azure-administrerede identiteter, er deres livscyklus, administration og styring forskellige. Et arbejdsområdes identitet har en uafhængig livscyklus, der udelukkende administreres i Fabric. Et Fabric-arbejdsområde kan eventuelt knyttes til en identitet. Når arbejdsområdet slettes, slettes identiteten. Navnet på arbejdsområdets identitet er altid det samme som navnet på det arbejdsområde, det er knyttet til.

Opret og administrer et arbejdsområde-id

Du skal være administrator af arbejdsområdet for at kunne oprette og administrere en arbejdsområdeidentitet. Det arbejdsområde, du opretter identiteten for, kan ikke være mit arbejdsområde.

  1. Gå til arbejdsområdet, og åbn indstillingerne for arbejdsområdet.
  2. Vælg fanen Arbejdsområdeidentitet.
  3. Vælg knappen + Identitet for arbejdsområde.

Når arbejdsområdeidentiteten er blevet oprettet, viser fanen oplysninger om arbejdsområdets identitet og listen over godkendte brugere.

Skærmbillede, der viser detaljer om arbejdsområdets identitet.

Afsnittene i konfigurationen af arbejdsområdets identitet er beskrevet i følgende afsnit.

Identitetsoplysninger

Detalje Description
Navn Navn på arbejdsområdeidentitet. Navnet på arbejdsområdets identitet er det samme som navnet på arbejdsområdet.
Id ID'et for arbejdsområdet. Dette er et entydigt id for identiteten.
Rolle Den arbejdsområderolle, der er tildelt til identiteten. Arbejdsområdeidentiteter tildeles automatisk rollen som bidragyder ved oprettelse.
Delstat Arbejdsområdets tilstand. Mulige værdier: Active, Inactive, Delete, Unusable, Failed, DeleteFailed

Autoriserede brugere

Du kan få flere oplysninger under Adgangskontrol.

Slet et arbejdsområdeidentitet

Når en identitet slettes, brydes Fabric-elementer, der er afhængige af arbejdsområdets identitet for adgang til eller godkendelse af arbejdsområder, der er tillid til. Slettede arbejdsområdeidentiteter kan ikke gendannes.

Bemærk

Når et arbejdsområde slettes, slettes dets arbejdsområdeidentitet også. Hvis arbejdsområdet gendannes efter sletning, gendannes arbejdsområdeidentiteten ikke. Hvis det gendannede arbejdsområde skal have et arbejdsområdeidentitet, skal du oprette et nyt.

Sådan bruger du arbejdsområdeidentitet

Arbejdsområdeidentitet kan i øjeblikket bruges på to måder:

Sikkerhed, administration og styring af arbejdsområdeidentiteten

I følgende afsnit beskrives det, hvem der kan bruge arbejdsområdeidentiteten, og hvordan du kan overvåge det i Microsoft Purview og Azure.

Adgangskontrol

Arbejdsområde-id'et kan oprettes og slettes af arbejdsområdeadministratorer. Arbejdsområdeidentiteten har rollen som bidragyder til arbejdsområdet i arbejdsområdet.

Arbejdsområdeidentitet understøttes for godkendelse til destinationsressourcer i forbindelser. Det er kun brugere med rollen administrator, medlem eller bidragyder i arbejdsområdet, der kan konfigurere arbejdsområdets identitet til godkendelse i forbindelser.

Programadministratorer eller brugere med højere roller kan få vist, redigere og slette den tjenesteprincipal og appregistrering, der er knyttet til arbejdsområdets identitet i Azure.

Advarsel!

Det anbefales ikke at ændre eller slette tjenesteprincipalen eller appregistreringen i Azure, da det medfører, at Fabric-elementer, der er afhængige af arbejdsområdeidentitet, holder op med at fungere.

Administrer arbejdsområdeidentiteten i Fabric

Fabric-administratorer kan administrere de arbejdsområdeidentiteter, der er oprettet i deres lejer, under fanen Fabric-identiteter på administrationsportalen.

  1. Gå til fanen Fabric identities på administrationsportalen.
  2. Vælg et arbejdsområdeidentitet, og vælg derefter Detaljer.
  3. Under fanen Detaljer kan du få vist yderligere oplysninger, der er relateret til arbejdsområdeidentiteten.
  4. Du kan også slette et arbejdsområde-id.

    Bemærk

    Arbejdsområdeidentiteter kan ikke gendannes efter sletning. Sørg for at gennemse konsekvenserne af at slette en arbejdsområdeidentitet, der er beskrevet i Slet et arbejdsområde-id.

Administrer arbejdsområdeidentiteten i Purview

Du kan få vist de overvågningshændelser, der genereres ved oprettelse og sletning af arbejdsområdeidentitet, i Purview Audit Log. Sådan får du adgang til logfilen

  1. Gå til Microsoft Purview-hubben.
  2. Vælg feltet Overvågning .
  3. I den søgeformular til overvågning, der vises, skal du bruge feltet Aktiviteter – brugervenlige navne til at søge efter stofidentitet for at finde de aktiviteter, der er relateret til arbejdsområdeidentiteter. I øjeblikket er følgende aktiviteter, der er relateret til arbejdsområdeidentiteter:
    • Oprettet fabric-identitet for arbejdsområde
    • Hentede Fabric Identity for Workspace
    • Slettet stofidentitet for arbejdsområde
    • Hentede Fabric Identity-token til arbejdsområdet

Administrer arbejdsområdets identitet i Azure

Det program, der er knyttet til arbejdsområdeidentiteten, kan ses under både Virksomhedsprogrammer og Appregistreringer i Azure-portal.

Virksomhedsprogrammer

Det program, der er knyttet til arbejdsområdeidentiteten, kan ses i Virksomhedsprogrammer i Azure-portal. Fabric Identity Management-appen er dens konfigurationsejer.

Advarsel!

Ændringer af det program, der er foretaget her, medfører, at arbejdsområdets id ikke længere fungerer.

Sådan får du vist overvågningslogge og logonlogge for denne identitet:

  1. Log på Azure-portalen.
  2. Gå til Microsoft Entra ID > Enterprise Applications.
  3. Vælg enten Overvågningslogge eller Log på efter behov.

Appregistreringer

Det program, der er knyttet til arbejdsområdeidentiteten, kan ses under Appregistreringer i Azure-portal. Der bør ikke foretages ændringer der, da det medfører, at arbejdsområdeidentiteten stopper med at fungere.

Avancerede scenarier

I følgende afsnit beskrives scenarier, der involverer arbejdsområdeidentiteter, som kan forekomme.

Sletter identiteten

Arbejdsområdeidentiteten kan slettes i indstillingerne for arbejdsområdet. Når en identitet slettes, brydes Fabric-elementer, der er afhængige af arbejdsområdets identitet for adgang til eller godkendelse af arbejdsområder, der er tillid til. Slettede arbejdsområdeidentiteter kan ikke gendannes.

Når et arbejdsområde slettes, slettes dets arbejdsområdeidentitet også. Hvis arbejdsområdet gendannes efter sletning, gendannes arbejdsområdeidentiteten ikke . Hvis det gendannede arbejdsområde skal have et arbejdsområdeidentitet, skal du oprette et nyt.

Omdøbning af arbejdsområdet

Når et arbejdsområde omdøbes, omdøbes arbejdsområdets id også, så det svarer til navnet på arbejdsområdet. Microsoft Entra-programmet og tjenesteprincipalen forbliver dog den samme. Bemærk, at der kan være flere objekter til program- og appregistrering med samme navn i en lejer.

Overvejelser og begrænsninger

  • Der kan oprettes et arbejdsområdeidentitet i et hvilket som helst arbejdsområde undtagen Mit arbejdsområde.
  • Hvis et arbejdsområde med et arbejdsområde-id migreres til en ikke-Fabric-kapacitet eller til en ikke-F SKU Fabric-kapacitet, deaktiveres eller slettes identiteten ikke, men Fabric-elementer, der er afhængige af adgang til arbejdsområder, der er tillid til, holder op med at fungere.
  • Der kan maksimalt oprettes 1.000 arbejdsområdeidentiteter i en lejer. Når denne grænse er nået, skal arbejdsområdeidentiteter slettes for at gøre det muligt at oprette nyere identiteter.
  • Genveje til Azure Data Lake Storage Gen2 i et arbejdsområde, der har et arbejdsområdeidentitet, kan have tjenesteadgang, der er tillid til.

Fejlfinding af problemer med oprettelse af et arbejdsområdeidentitet

  • Hvis du ikke kan oprette et arbejdsområdeidentitet, fordi oprettelsesknappen er deaktiveret, skal du kontrollere, at du har rollen som administrator af arbejdsområdet.

  • Hvis du støder på problemer, første gang du opretter et arbejdsområdeidentitet i din lejer, kan du prøve følgende trin:

    1. Hvis identitetstilstanden for arbejdsområdet mislykkes, skal du vente en time og derefter slette identiteten.
    2. Når identiteten er blevet slettet, skal du vente 5 minutter og derefter oprette identiteten igen.

Relateret indhold