Arbeitsbereich-Identität
Eine Fabric-Arbeitsbereich-Identität ist ein automatisch verwalteter Dienstprinzipal, der einem Fabric-Arbeitsbereich zugeordnet werden kann. Fabric-Workspaces mit einer Arbeitsbereich-Identität können über den vertrauenswürdigen Zugang zum Arbeitsbereich für OneLake-Verknüpfungen sicher auf Firewall-aktivierte Azure Data Lake Storage Gen2-Konten lesen oder schreiben. Fabric-Elemente können die Identität verwenden, wenn sie eine Verbindung mit Ressourcen herstellen, die die Microsoft Entra-Authentifizierung unterstützen. Fabric verwendet Arbeitsbereichsidentitäten, um Microsoft Entra-Token abzurufen, ohne dass der Kunde Anmeldeinformationen verwalten muss.
Arbeitsbereichsidentitäten können in den Einstellungen eines beliebigen Arbeitsbereichs mit Ausnahme von „Meine Arbeitsbereiche“ erstellt werden. Einer Arbeitsbereich-Identität wird automatisch die Rolle des Arbeitsbereich-Mitarbeiters zugewiesen und sie hat Zugriff auf Elemente des Arbeitsbereichs.
Wenn Sie eine Arbeitsbereich-Identität erstellen, erstellt Fabric einen Dienstprinzipal in Microsoft Entra ID, um die Identität zu sichern. Außerdem wird eine begleitende App-Registrierung erstellt. Fabric verwaltet automatisch die Anmeldeinformationen, die Arbeitsbereich-Identitäten zugeordnet sind, wodurch Anmeldedatenlecks und Ausfallzeiten aufgrund einer unsachgemäßen Verarbeitung von Anmeldeinformationen verhindert werden.
Hinweis
Fabric-Arbeitsbereichsidentität ist allgemein verfügbar. Sie können eine Arbeitsbereichsidentität in einem beliebigen Arbeitsbereich erstellen, außer unter Mein Arbeitsbereich.
Während Fabric Arbeitsbereich-Identitäten einige Ähnlichkeiten mit verwalteten Azure-Identitäten aufweisen, sind ihr Lebenszyklus, ihre Verwaltung und ihre Administration unterschiedlich. Eine Arbeitsbereich-Identität verfügt über einen unabhängigen Lebenszyklus, der vollständig in Fabric verwaltet wird. Ein Fabric-Arbeitsbereich kann optional einer Identität zugeordnet werden. Wenn der Arbeitsbereich gelöscht wird, wird auch die Identität gelöscht. Der Name der Arbeitsbereich-Identität ist immer identisch mit dem Namen des Arbeitsbereichs, dem er zugeordnet ist.
Erstellen und Verwalten einer Arbeitsbereich-Identität
Sie müssen ein Administrator des Arbeitsbereichs sein, um eine Arbeitsbereich-Identität erstellen und verwalten zu können. Der Arbeitsbereich, für den Sie die Identität erstellen, kann nicht Mein Arbeitsbereich sein.
- Navigieren Sie zum Arbeitsbereich, und öffnen Sie die Einstellungen des Arbeitsbereichs.
- Wählen Sie die Tab Arbeitsbereich-Identität aus.
- Wählen Sie die Taste + Arbeitsbereich-Identität.
Wenn die Arbeitsbereichsidentität erstellt wurde, zeigt die Registerkarte deren Details und die Liste der autorisierten Benutzer*innen an.
Die Methoden zum Konfigurieren der Arbeitsbereich-Identität werden in den folgenden Abschnitten beschrieben.
Identitätsdetails
Detail | Beschreibung |
---|---|
Name | Name der Arbeitsbereich-Identität. Die Arbeitsbereich-Identität trägt denselben Namen wie der Arbeitsbereich. |
ID | Die Arbeitsbereich-Identität GUID. Dies ist ein eindeutiger Bezeichner der Identität. |
Rolle | Die Rolle im Arbeitsbereich, die der Identität zugewiesen ist. Arbeitsbereichs-Identitäten wird beim Erstellen automatisch die Rolle des Mitwirkenden zugewiesen. |
State | Der Status des Arbeitsbereichs. Mögliche Werte: Aktiv, Inaktiv, Löschen, nicht verwendbar, fehlgeschlagen, Löschen gescheitert |
Autorisierte Benutzer
Weitere Informationen finden Sie unter Access Control.
Löschen einer Arbeitsbereich-Identität
Wenn eine Identität gelöscht wird, werden Fabric-Elemente, die sich auf die Arbeitsbereich-Identität für den vertrauenswürdigen Zugriff auf den Arbeitsbereich oder die Authentifizierung verlassen, nicht mehr funktionieren. Gelöschte Arbeitsbereich-Identitäten können nicht wiederhergestellt werden.
Hinweis
Wenn ein Arbeitsbereich gelöscht wird, wird auch die Arbeitsbereich-Identität gelöscht. Wenn der Arbeitsbereich nach dem Löschen wiederhergestellt wird, wird die Arbeitsbereich-Identität nicht wiederhergestellt. Wenn der wiederhergestellte Arbeitsbereich über eine Arbeitsbereich-Identität verfügen soll, müssen Sie eine neue erstellen.
Verwenden der Arbeitsbereich-Identität
Eine Arbeitsbereichsidentität kann derzeit auf zwei Arten verwendet werden:
Für die Authentifizierung: Authentifizieren mit Arbeitsbereichsidentität
Für einen vertrauenswürdigen Zugriff auf einen Arbeitsbereich: Verknüpfungen in einem Arbeitsbereich, der über eine Arbeitsbereichsidentität verfügt, können für den vertrauenswürdigen Dienstzugriff verwendet werden. Weitere Informationen finden Sie unter Vertrauenswürdiger Zugriff auf den Arbeitsbereich.
Sicherheit, Verwaltung und Management der Arbeitsbereich-Identität
In den folgenden Abschnitten wird beschrieben, wer die Arbeitsbereich-Identität verwenden kann und wie Sie sie in Microsoft Purview und Azure überwachen können.
Zugriffssteuerung
Arbeitsbereich-Identität kann von Administratoren des Arbeitsbereichs erstellt und gelöscht werden. Die Arbeitsbereich-Identität weist die Rolle des Arbeitsbereich-Mitwirkenden im Arbeitsbereich auf.
Die Arbeitsbereichsidentität wird für die Authentifizierung von Zielressourcen in Verbindungen nicht unterstützt. Nur Benutzer mit der Rolle Administrator, Mitglied oder Mitwirkender im Arbeitsbereich können die Arbeitsbereichsidentität für die Authentifizierung in Verbindungen konfigurieren.
Anwendungs-Administratoren oder Benutzer mit höheren Rollen können den Dienstprinzipal und die App-Registrierung anzeigen, ändern und löschen, die der Arbeitsbereich-Identität in Azure zugeordnet ist.
Warnung
Das Ändern oder Löschen der Dienstprinzipal- oder App-Registrierung in Azure wird nicht empfohlen, da Fabric-Elemente, die sich auf die Arbeitsbereich-Identität verlassen, nicht mehr funktionieren.
Verwalten der Arbeitsbereich-Identität in Fabric
Fabric-Administratoren können die in ihrem Mandanten erstellten Arbeitsbereichs-Identitäten auf der Registerkarte Fabric-Identitäten im Admin-Portal verwalten.
- Navigieren Sie im Adminportal zur Registerkarte Fabric-Identitäten.
- Wählen Sie eine Arbeitsbereichsidentität und dann Details aus.
- Auf der Registerkarte Details können Sie weitere Informationen zur Arbeitsbereichsidentität anzeigen.
- Sie können auch eine Arbeitsbereichsidentität löschen.
Hinweis
Arbeitsbereichsidentitäten können nach dem Löschen nicht wiederhergestellt werden. Überprüfen Sie unbedingt die Folgen des Löschens einer Arbeitsbereichsidentität, die unter Löschen einer Arbeitsbereichsidentität beschrieben ist.
Verwalten der Arbeitsbereich-Identität in Purview
Sie können die Prüfereignisse, die bei der Erstellung und Löschung von Arbeitsbereich-Identitäten generiert werden, im Purview Überwachungsprotokoll einsehen. Um auf das Protokoll zuzugreifen
- Navigieren Sie zum Microsoft Purview-Hub.
- Wählen Sie die Kachel Überwachung.
- Verwenden Sie in dem daraufhin angezeigten Überwachungsformular das Feld Aktivitäten - Friendly Names für die Suche nach Fabric-Identitäten, um die mit den Arbeitsbereich-Identitäten verbundenen Aktivitäten zu finden. Derzeit gibt es folgende Aktivitäten in Verbindung mit der Arbeitsbereich-Identität:
- Fabric-Identität für Arbeitsbereich erstellt
- Fabric-Identität für Arbeitsbereich abgerufen
- Fabric-Identität für Arbeitsbereich gelöscht
- Fabric-Identität Token für Arbeitsbereich abgerufen
Verwalten der Arbeitsbereich-Identität in Azure
Die Anwendung, die der Arbeitsbereich-Identität zugeordnet ist, kann sowohl unter Enterprise-Anwendungen als auch unter App-Registrierungen im Azure-Portal angezeigt werden.
Unternehmensanwendungen
Die Anwendung, die der Arbeitsbereich-Identität zugeordnet ist, kann unter Enterprise-Anwendungen im Azure-Portal angezeigt werden. Die Fabric Identity Management-App ist der Eigentümer der Konfiguration.
Warnung
Änderungen an der Anwendung, die hier vorgenommen werden, führen dazu, dass die Arbeitsbereich-Identität nicht mehr funktioniert.
So zeigen Sie die Überwachungsprotokolle und Anmeldeprotokolle für diese Identität an:
- Melden Sie sich beim Azure-Portal an.
- Navigieren Sie zu Microsoft Entra ID > Enterprise Anwendungen.
- Wählen Sie entweder Überwachungsprotokolle oder Anmeldeprotokolle nach Bedarf aus.
App-Registrierungen
Die Anwendung, die der Arbeitsbereich-Identität zugeordnet ist, kann unter App-Registrierungen im Azure-Portal angezeigt werden. Dort sollten keine Änderungen vorgenommen werden, da dadurch die Arbeitsbereich-Identität nicht mehr funktioniert.
Erweiterte Szenarios
In den folgenden Abschnitten werden Szenarien mit Arbeitsbereich-Identitäten beschrieben, die auftreten können.
Löschen der Identität
Die Arbeitsbereich-Identität kann in den Einstellungen des Arbeitsbereichs gelöscht werden. Wenn eine Identität gelöscht wird, werden Fabric-Elemente, die sich auf die Arbeitsbereich-Identität für den vertrauenswürdigen Zugriff auf den Arbeitsbereich oder die Authentifizierung verlassen, nicht mehr funktionieren. Gelöschte Arbeitsbereich-Identitäten können nicht wiederhergestellt werden.
Wenn ein Arbeitsbereich gelöscht wird, wird auch die Arbeitsbereich-Identität gelöscht. Wenn der Arbeitsbereich nach dem Löschen wiederhergestellt wird, wird die Arbeitsbereich-Identität nicht wiederhergestellt. Wenn der wiederhergestellte Arbeitsbereich über eine Arbeitsbereich-Identität verfügen soll, müssen Sie eine neue erstellen.
Umbenennen des Arbeitsbereichs
Wenn ein Arbeitsbereich umbenannt wird, wird auch die Arbeitsbereich-Identität entsprechend dem Namen des Arbeitsbereichs umbenannt. Die Microsoft Entra-Anwendung und der Dienstprinzipal bleiben jedoch unverändert. Beachten Sie, dass mehrere Anwendungs- und App-Registrierungsobjekte mit demselben Namen in einem Mandanten vorhanden sein können.
Überlegungen und Einschränkungen
- Eine Arbeitsbereichsidentität kann in einem beliebigen Arbeitsbereich erstellt werden, außer unter Mein Arbeitsbereich.
- Wenn ein Arbeitsbereich mit einer Arbeitsbereichsidentität zu einer Nicht-Fabric oder einer Nicht-F-SKU-Fabric-Kapazität migriert wird, wird die Identität nicht deaktiviert oder gelöscht. Fabric-Elemente, die einen vertrauenswürdigen Zugriff auf einen Arbeitsbereich erfordern, funktionieren jedoch nicht mehr.
- In einem Mandanten können maximal 1.000 Arbeitsbereich-Identitäten angelegt werden. Sobald dieser Grenzwert erreicht ist, müssen Arbeitsbereich-Identitäten gelöscht werden, damit neuere erstellt werden können.
- Azure Data Lake Storage Gen2-Verknüpfungen in einem Arbeitsbereich, der über eine Arbeitsbereich-Identität verfügt, sind in der Lage, vertrauenswürdigen Dienstzugriff zu erhalten.
Problembehandlung bei der Erstellung einer Arbeitsbereich-Identität
Wenn Sie keine Arbeitsbereichsidentität erstellen können, da die Schaltfläche zum Erstellen deaktiviert ist, stellen Sie sicher, dass Sie über die Rolle Administrator im Arbeitsbereich verfügen.
Wenn beim ersten Erstellen einer Arbeitsbereich-Identität in Ihrem Mandanten Probleme auftreten, führen Sie die folgenden Schritte aus:
- Wenn der Identitätsstatus des Arbeitsbereichs fehlgeschlagen ist, warten Sie eine Stunde, und löschen Sie dann die Identität.
- Nachdem die Identität gelöscht wurde, warten Sie 5 Minuten, und erstellen Sie die Identität erneut.