Partager via


Identité de l’espace de travail

Une identité d’espace de travail Fabric est un principal de service managé automatiquement qui peut être associé à un espace de travail Fabric. Les espaces de travail Fabric avec une identité d’espace de travail peuvent lire ou écrire en toute sécurité sur des comptes Azure Data Lake Storage Gen2 avec pare-feu par le biais d’un accès à un espace de travail approuvé pour les raccourcis OneLake. Les éléments Fabric peuvent utiliser l’identité lors de la connexion à des ressources prenant en charge l’authentification Microsoft Entra. Fabric utilise des identités d’espace de travail pour obtenir des jetons Microsoft Entra sans que le client ait à gérer des informations d’identification.

Les identités d’espace de travail peuvent être créées dans les paramètres de l’espace de travail de n’importe quel espace de travail, à l’exception de Mes espaces de travail. Une identité d’espace de travail est automatiquement affectée au rôle contributeur d’espace de travail et a accès aux éléments de l’espace de travail.

Lorsque vous créez une identité d’espace de travail, Fabric crée un principal de service dans Microsoft Entra ID pour représenter l’identité. Une inscription d’application associée est également créée. Fabric gère automatiquement les informations d’identification associées aux identités d’espace de travail, ce qui empêche les fuites d’informations d’identification et les temps d’arrêt en raison d’une gestion incorrecte des informations d’identification.

Remarque

L’identité de l’espace de travail Fabric est généralement disponible. Vous pouvez créer une identité d’espace de travail dans n’importe quel espace de travail, sauf Mon espace de travail.

Bien que les identités d’espace de travail Fabric partagent certaines similitudes avec les identités managées Azure, leur cycle de vie, leur administration et leur gouvernance sont différentes. Une identité d’espace de travail a un cycle de vie indépendant géré entièrement dans Fabric. Un espace de travail Fabric peut éventuellement être associé à une identité. Lorsque l’espace de travail est supprimé, l’identité est également supprimée. Le nom de l’identité de l’espace de travail est toujours identique au nom de l’espace de travail associé.

Créer et gérer une identité d’espace de travail

Vous devez être administrateur d’un espace de travail pour pouvoir créer et gérer une identité d’espace de travail. L’espace de travail pour lequel vous créez l’identité ne peut pas être Mon espace de travail.

  1. Accédez à l’espace de travail et ouvrez les paramètres de l’espace de travail.
  2. Sélectionnez l’onglet Identité de l’espace de travail.
  3. Sélectionnez le bouton + Identité de l’espace de travail.

Une fois l’identité de l’espace de travail créée, l’onglet affiche les détails de l’identité de l’espace de travail et la liste des utilisateurs autorisés.

Capture d’écran montrant les détails de l’identité de l’espace de travail.

Les sections de la configuration de l’identité de l’espace de travail sont décrites dans les sections suivantes.

Détails de l’identité

Détail Description
Nom Nom de l’identité de l’espace de travail. Le nom de l’identité de l’espace de travail est identique à celui de l’espace de travail.
Identifiant GUID d’identité de l’espace de travail. Il s’agit d’un identificateur unique pour l’identité.
Rôle Rôle d’espace de travail affecté à l’identité. Les identités d’espace de travail sont automatiquement affectées au rôle contributeur lors de la création.
État État de l’espace de travail. Valeurs possibles : Active, Inactive, Deleting, Unusable, Failed, DeleteFailed

Utilisateurs autorisés

Pour plus d’informations, consultez Contrôle d’accès.

Supprimer une identité d’espace de travail

Lorsqu’une identité est supprimée, les éléments Fabric qui s’appuient sur l’identité de l’espace de travail pour avoir accès à l’espace de travail approuvé ou l’authentification s’interrompent. Les identités d’espace de travail supprimées ne peuvent pas être restaurées.

Remarque

Lorsqu’un espace de travail est supprimé, son identité de l’espace de travail est également supprimée. Si l’espace de travail est restauré après la suppression, l’identité de l’espace de travail n’est pas restaurée. Si vous souhaitez que l’espace de travail restauré dispose d’une identité d’espace de travail, vous devez en créer une nouvelle.

Comment utiliser l’identité de l’espace de travail

L’identité de l’espace de travail peut actuellement être utilisée de deux manières :

Sécurité, administration et gouvernance de l’identité de l’espace de travail

Les sections suivantes décrivent qui peut utiliser l’identité de l’espace de travail et comment vous pouvez la surveiller dans Microsoft Purview et Azure.

Contrôle d’accès

L’identité de l’espace de travail peut être créée et supprimée par les administrateurs de l’espace de travail. L’identité de l’espace de travail a le rôle contributeur espace de travail sur l’espace de travail.

L’identité de l’espace de travail est prise en charge pour l’authentification auprès des ressources cibles dans les connexions. Seuls les utilisateurs disposant d’un rôle Administrateur, Membre ou Contributeur dans l’espace de travail peuvent configurer l’identité de l’espace de travail pour l’authentification dans les connexions.

Les utilisateurs ou les administrateurs d’application ayant des rôles supérieurs peuvent afficher, modifier et supprimer le principal de service et l’inscription d’application associés à l’identité de l’espace de travail dans Azure.

Avertissement

La modification ou la suppression du principal de service ou de l’inscription d’application dans Azure n’est pas recommandée, car cela entraîne l’arrêt du fonctionnement des éléments Fabric qui s’appuient sur l’identité de l’espace de travail.

Gérer l’identité de l’espace de travail dans Fabric

Les administrateurs Fabric peuvent administrer les identités de l’espace de travail créées dans leur locataire dans l’onglet Identités Fabric du portail d’administration.

  1. Accédez à l’onglet Identités Fabric dans le portail d’administration.
  2. Sélectionnez une identité de l’espace de travail, puis sélectionnez Détails.
  3. Dans l’onglet Détails, vous pouvez afficher des informations supplémentaires relatives à l’identité de l’espace de travail.
  4. Vous pouvez également supprimer l’identité d’un espace de travail.

    Remarque

    Les identités de l’espace de travail ne peuvent pas être restaurées après leur suppression. Veillez à examiner les conséquences de la suppression d’une identité d’espace de travail décrites dans Supprimer une identité d’espace de travail.

Administrer l’identité de l’espace de travail dans Purview

Vous pouvez consulter les événements d’audit générés lors de la création et de la suppression de l’identité de l’espace de travail dans le journal d’audit Purview. Pour accéder au journal

  1. Accédez au Hub Microsoft Purview.
  2. Sélectionnez la vignette Audit.
  3. Dans le formulaire de recherche d’audit qui s’affiche, utilisez le champ Activités - Noms conviviaux pour rechercher l’identité Fabric pour rechercher les activités liées aux identités d’espace de travail. Actuellement, les activités suivantes liées aux identités d’espace de travail sont les suivantes :
    • Identité Fabric créée pour l’espace de travail
    • Identité Fabric récupérée pour l’espace de travail
    • Identité Fabric supprimée pour l’espace de travail
    • Jeton d’identité Fabric récupéré pour l’espace de travail

Administrer l’identité de l’espace de travail dans Azure

L’application associée à l’identité de l’espace de travail peut être consultée sous les applications d’entreprise et les inscriptions d’applications dans le Portail Azure.

Applications d’entreprise

L’application associée à l’identité de l’espace de travail peut être consultée dans Applications d’entreprise dans le Portail Azure. L’application Identity Management de Fabric est son propriétaire de configuration.

Avertissement

Les modifications apportées à l’application ici entraînent l’arrêt de l’identité de l’espace de travail.

Pour consulter les journaux d’audit et les journaux de connexion pour cette identité :

  1. Connectez-vous au portail Azure.
  2. Accédez à Microsoft Entra ID > Applications d’entreprise.
  3. Sélectionnez soit Journaux d’audit, soit Journaux de connexion, comme vous le souhaitez.

Inscriptions des applications

L’application associée à l’identité de l’espace de travail peut être consultée sous Inscriptions d’applications dans le Portail Azure. Aucune modification ne doit être apportée à cet emplacement, car cela entraîne l’arrêt de l’identité de l’espace de travail.

Scénarios avancés

Les sections suivantes décrivent les scénarios impliquant des identités d’espace de travail qui peuvent se produire.

Suppression de l’identité

L’identité de l’espace de travail peut être supprimée dans les paramètres de l’espace de travail. Lorsqu’une identité est supprimée, les éléments Fabric qui s’appuient sur l’identité de l’espace de travail pour avoir accès à l’espace de travail approuvé ou l’authentification s’interrompent. Les identités d’espace de travail supprimées ne peuvent pas être restaurées.

Lorsqu’un espace de travail est supprimé, son identité de l’espace de travail est également supprimée. Si l’espace de travail est restauré après la suppression, l’identité de l’espace de travail n’est pas restaurée. Si vous souhaitez que l’espace de travail restauré dispose d’une identité d’espace de travail, vous devez en créer une nouvelle.

Renommage de l’espace de travail

Lorsqu’un espace de travail est renommé, l’identité de l’espace de travail est également renommée pour correspondre au nom de l’espace de travail. Cependant, son application Microsoft Entra et son principal de service restent les mêmes. Notez qu’il peut y avoir plusieurs objets d’application et d’inscription d’application portant le même nom dans un locataire.

Observations et limitations

  • Une identité d’espace de travail peut être créée dans n’importe quel espace de travail, à l’exception de Mon espace de travail.
  • Si un espace de travail avec une identité d’espace de travail est migré vers une capacité non-Fabric ou vers une capacité Fabric d’une référence SKU autre que F, l’identité ne sera pas désactivée ou supprimée, mais les éléments Fabric s’appuyant sur l’identité de l’espace de travail cesseront de fonctionner.
  • Un maximum de 1 000 identités d’espace de travail peuvent être créées dans un locataire. Une fois cette limite atteinte, les identités d’espace de travail doivent être supprimées pour permettre la création de nouvelles identités.
  • Les raccourcis Azure Data Lake Storage Gen2 dans un espace de travail disposant d’une identité d’espace de travail sont capables d’accéder au service approuvé.

Résolution des problèmes liés à la création d’une identité d’espace de travail

  • Si vous ne pouvez pas créer une identité d’espace de travail parce que le bouton de création est désactivé, vérifiez que vous disposez du rôle Administrateur.

  • Si vous rencontrez des problèmes lors de la première création d’une identité d’espace de travail dans votre locataire, procédez comme suit :

    1. Si l’état de l’identité de l’espace de travail a Échec, attendez une heure, puis supprimez l’identité.
    2. Une fois l’identité supprimée, attendez 5 minutes, puis recréez l’identité.