ワークスペース ID
Fabric ワークスペース ID は、Fabric ワークスペースに関連付けることができる、自動的に管理されるサービス プリンシパルです。 ワークスペース ID を持つFabric ワークスペースは、OneLake ショートカットの信頼されたワークスペース アクセスを通じて、ファイアウォールが有効な Azure Data Lake Storage Gen2 アカウントの読み取りまたは書き込みを安全に行うことができます。 ファブリック 項目は、Microsoft Entra 認証をサポートするリソースに接続するときに ID を使用できます。 Fabric では、ワークスペース ID を使用して Microsoft Entra トークンを取得します。お客様が資格情報を管理する必要はありません。
ワークスペース ID は、[マイ ワークスペース] を除く任意のワークスペースのワークスペース設定で作成できます。 ワークスペース ID にはワークスペース共同作成者ロールが自動的に割り当てられ、ワークスペース アイテムにアクセスできます。
ワークスペース ID を作成すると、その ID を表すサービス プリンシパルが Microsoft Entra ID に作成されます。 付随するアプリの登録も作成されます。 Fabric は、ワークスペース ID に関連付けられている資格情報を自動的に管理するため、資格情報の不適切な処理による資格情報の漏洩とダウンタイムを防ぎます。
Note
Fabric ワークスペース ID は 一般提供されています。 マイ ワークスペースを除く 任意のワークスペースにワークスペース ID を作成できます。
Fabric ワークスペース ID は Azure マネージド ID といくつかの点で類似していますが、そのライフサイクル、管理、ガバナンスは異なります。 ワークスペース ID には、Fabric で完全に管理される独立したライフサイクルがあります。 Fabric ワークスペースは、必要に応じて ID に関連付けることができます。 ワークスペースが削除されると、ID は削除されます。 ワークスペース ID の名前は、関連付けられているワークスペースの名前と常に同じです。
ワークスペース ID の作成と管理
ワークスペース ID を作成および管理するには、ワークスペース管理者である必要があります。 ID を作成しているワークスペースをマイ ワークスペースにすることはできません。
- ワークスペースに移動し、ワークスペースの設定を開きます。
- [ワークスペース ID] タブを選択します。
- [ワークスペース ID の追加] ボタンを選択します。
ワークスペース ID が作成されると、ワークスペース ID の詳細、許可されているユーザーの一覧がタブに表示されます。
以降のセクションでは、ワークスペース ID 構成のセクションについて説明します。
ID の詳細
詳細 | 説明 |
---|---|
名前 | ワークスペース ID 名。 ワークスペース ID 名は、ワークスペース名と同じです。 |
ID | ワークスペース ID の GUID。 これは、ID の一意識別子です。 |
Role | ID に割り当てられたワークスペース ロール。 ワークスペース ID は、作成時に共同作成者ロールに自動的に割り当てられます。 |
State | ワークスペースの状態。 使用可能な値: Active、 Inactive、 Deleteing、 Unusable、 Failed、DeleteFailed |
承認されたユーザー
詳細については、「アクセスの制御」を参照してください。
ワークスペース ID を削除する
ID が削除されると、信頼されたワークスペースアクセスまたは認証のためにワークスペース ID に依存する Fabric アイテムは動作しません。 削除されたワークスペース ID は復元できません。
Note
ワークスペースが削除されると、そのワークスペース ID も削除されます。 削除後にワークスペースが復元されても、ワークスペース ID は復元されません。 復元されたワークスペースにワークスペース ID を設定する場合は、新しいワークスペースを作成する必要があります。
ワークスペース ID の使用方法
現在、ワークスペース ID は次の 2 つの方法で使用できます。
信頼されたワークスペース アクセスの場合: ワークスペース ID を持つワークスペース内のショートカットは、信頼されたサービス アクセスに使用できます。 詳細については、「信頼されたワークスペース アクセス」を参照してください。
ワークスペース ID のセキュリティ、管理、ガバナンス
以降のセクションでは、ワークスペース ID を使用できるユーザーと、Microsoft Purview と Azure でワークスペース ID を監視する方法について説明します。
アクセス制御
ワークスペース ID は、ワークスペース管理者が作成および削除できます。 ワークスペース ID には、ワークスペースに対するワークスペース共同作成者ロールがあります。
ワークスペース ID は、接続内のリソースをターゲットとする認証でサポートされています。 ワークスペース内の管理者、メンバー、または共同作成者ロールを持つユーザーのみが、接続での認証用にワークスペース ID を構成できます。
アプリケーション管理者または、それよりも高いロールを持つユーザーは、Azure のワークスペース ID に関連付けられているサービス プリンシパルとアプリの登録を表示、変更、削除できます。
警告
ワークスペース ID に依存する Fabric アイテムが機能しなくなるので、Azure でサービス プリンシパルやアプリの登録を変更または削除することはお勧めしません。
Fabric でワークスペース ID を管理する
Fabric 管理者は、管理ポータルにあるテナントの Fabric ID タブで作成されたワークスペース ID を表示できます。
- 管理ポータルの [Fabric ID] タブに移動します。
- ワークスペース ID を選択し、[詳細] を選択します。
- [詳細] タブでは、ワークスペース ID に関連する追加情報を表示できます。
- ワークスペース ID を削除することもできます。
Note
削除後にワークスペース ID を復元することはできません。 「ワークスペース ID を削除する」で説明されているワークスペース ID の削除の影響を確認してください。
Purview でワークスペース ID を管理する
Purview 監査ログでは、ワークスペース ID の作成と削除時に生成された監査イベントを表示できます。 ログにアクセスするには
- Microsoft Purview ハブに移動します。
- [監査] タイルを選択します。
- 監査検索フォームが表示されたら、[アクティビティ - フレンドリ名] フィールドを使用して Fabric ID を検索し、ワークスペース ID に関連するアクティビティを見つけます。 現在、ワークスペース ID に関連するアクティビティは次のとおりです。
- ワークスペース用に作成された Fabric ID
- ワークスペースの取得された Fabric ID
- ワークスペースの削除された Fabric ID
- ワークスペースの取得された Fabric ID トークン
Azure でワークスペース ID を管理する
ワークスペース ID に関連付けられているアプリケーションは、Azure portal のエンタープライズ アプリケーションとアプリの登録の両方で表示できます。
エンタープライズ アプリケーション
ワークスペース ID に関連付けられているアプリケーションは、Azure portal の[エンタープライズ アプリケーション]で表示できます。 Fabric Identity Management アプリは、その構成のオーナーです。
警告
ここでアプリケーションを変更すると、ワークスペース ID が動作しなくなります。
この ID の監査ログとサインイン ログを表示するには
- Azure portal にサインインします。
- [Microsoft Entra ID] > [エンタープライズ アプリケーション] に移動します。
- 目的に応じて、[監査ログ] または [サインイン ログ] を選択します。
アプリの登録
ワークスペース ID に関連付けられているアプリケーションは、Azure portal の [アプリの登録] で表示できます。 ワークスペース ID が機能しなくなるため、そこで変更を加える必要はありません。
詳細シナリオ
次のセクションでは、発生する可能性のあるワークスペース ID に関連するシナリオについて説明します。
IDの削除
ワークスペース ID は、ワークスペース設定で削除できます。 ID が削除されると、信頼されたワークスペースアクセスまたは認証のためにワークスペース ID に依存する Fabric アイテムは動作しません。 削除されたワークスペース ID は復元できません。
ワークスペースが削除されると、そのワークスペース ID も削除されます。 削除後にワークスペースが復元されても、ワークスペース ID は復元されません。 復元されたワークスペースにワークスペース ID を設定する場合は、新しいワークスペースを作成する必要があります。
ワークスペースの名前を変更する
ワークスペースの名前が変更されると、ワークスペース ID もワークスペース名と一致するように名前が変更されます。 ただし、Microsoft Entra のアプリケーションとサービス プリンシパルは変わりません。 テナントには、同じ名前の複数のアプリケーションやアプリ登録オブジェクトが存在する可能性があることに注意してください。
考慮事項と制限事項
- ワークスペース ID は、マイ ワークスペースを除く任意のワークスペースに作成できます。
- ワークスペース ID を持つワークスペースが非 Fabric 容量または F SKU 以外の Fabric 容量に移行された場合、ID は無効または削除されませんが、信頼されたワークスペース アクセスに依存する Fabric アイテムは機能しなくなります。
- テナントには、最大 1,000 個のワークスペース ID を作成できます。 この制限に達したら、ワークスペース ID を削除して、新しい ID を作成できるようにする必要があります。
- ワークスペース ID を持つワークスペース内の Azure Data Lake Storage Gen2 ショートカットは、信頼されたサービス アクセスが可能になります。
ワークスペース ID の作成に関する問題のトラブルシューティング
作成ボタンが無効になっているためにワークスペース ID を作成できない場合は、ワークスペース管理者ロールがあることを確認してください。
テナントでワークスペース ID を初めて作成するときに問題が発生した場合は、次の手順を試してください。
- ワークスペース ID の状態が失敗である場合は、1 時間待ってから ID を削除してください。
- ID が削除されたら、5 分待ってから、もう一度 ID を作成します。