Del via


Arbeidsområdeidentitet

En ID for et stoffarbeidsområde er en automatisk administrert tjenestekontohaver som kan knyttes til et fabric-arbeidsområde. Stoffarbeidsområder med en arbeidsområdeidentitet kan trygt lese eller skrive til brannmuraktiverte Azure Data Lake Storage Gen2-kontoer gjennom klarert arbeidsområdetilgang for OneLake-snarveier. Stoffelementer kan bruke identiteten når du kobler til ressurser som støtter Microsoft Entra-godkjenning. Fabric bruker arbeidsområdeidentiteter til å skaffe Microsoft Entra-tokener uten at kunden må administrere legitimasjon.

Arbeidsområdeidentiteter kan opprettes i arbeidsområdeinnstillingene for alle arbeidsområder unntatt Mine arbeidsområder. En arbeidsområdeidentitet tilordnes automatisk rollen som bidragsyter for arbeidsområdet og har tilgang til arbeidsområdeelementer.

Når du oppretter en arbeidsområdeidentitet, oppretter Fabric en tjenestekontohaver i Microsoft Entra ID for å representere identiteten. En medfølgende appregistrering opprettes også. Fabric administrerer automatisk legitimasjonen som er knyttet til identiteter i arbeidsområdet, og forhindrer dermed legitimasjonslekkasjer og nedetid på grunn av feil legitimasjonshåndtering.

Merk

Identitet for stoffarbeidsområde er generelt tilgjengelig. Du kan opprette en arbeidsområdeidentitet i et hvilket som helst arbeidsområde unntatt Mitt arbeidsområde.

Selv om fabric workspace-identiteter deler noen likheter med Azure-administrerte identiteter, er livssyklusen, administrasjonen og styringen forskjellig. En arbeidsområdeidentitet har en uavhengig livssyklus som administreres fullstendig i Fabric. Et stoffarbeidsområde kan eventuelt knyttes til en identitet. Når arbeidsområdet slettes, slettes identiteten. Navnet på arbeidsområdeidentiteten er alltid det samme som navnet på arbeidsområdet det er knyttet til.

Opprette og administrere en arbeidsområdeidentitet

Du må være administrator for arbeidsområdet for å kunne opprette og administrere en arbeidsområdeidentitet. Arbeidsområdet du oppretter identiteten for, kan ikke være et Mitt arbeidsområde.

  1. Gå til arbeidsområdet og åpne innstillingene for arbeidsområdet.
  2. Velg kategorien Arbeidsområdeidentitet.
  3. Velg knappen + arbeidsområdeidentitet.

Når arbeidsområdeidentiteten er opprettet, viser fanen identitetsdetaljene for arbeidsområdet og listen over autoriserte brukere.

Skjermbilde som viser informasjon om arbeidsområdeidentitet.

Inndelingene i identitetskonfigurasjonen for arbeidsområdet er beskrevet i avsnittene nedenfor.

Identitetsdetaljer

Detaljer Bekrivelse
Navn Navn på arbeidsområdeidentitet. Navnet på arbeidsområdets identitet er det samme som navnet på arbeidsområdet.
ID GUID for arbeidsområdeidentitet. Dette er en unik identifikator for identiteten.
Rolle Arbeidsområderollen som er tilordnet identiteten. Arbeidsområdeidentiteter tilordnes automatisk bidragsyterrollen ved oppretting.
Status Tilstanden til arbeidsområdet. Mulige verdier: Aktiv, Inaktiv, Sletting, Ubrukelig, Mislykket, DeleteFailed

Autoriserte brukere

Hvis du vil ha informasjon, kan du se Access-kontrollen.

Slette en arbeidsområdeidentitet

Når en identitet slettes, vil stoffelementer som er avhengige av arbeidsområdeidentiteten for klarert arbeidsområdetilgang eller godkjenning, brytes. Slettede arbeidsområdeidentiteter kan ikke gjenopprettes.

Merk

Når et arbeidsområde slettes, slettes også arbeidsområdeidentiteten. Hvis arbeidsområdet gjenopprettes etter sletting, gjenopprettes ikke arbeidsområdeidentiteten. Hvis du vil at det gjenopprettede arbeidsområdet skal ha en arbeidsområdeidentitet, må du opprette et nytt.

Slik bruker du arbeidsområdeidentitet

Arbeidsområdeidentitet kan for øyeblikket brukes på to måter:

Sikkerhet, administrasjon og styring av arbeidsområdeidentiteten

De følgende avsnittene beskriver hvem som kan bruke arbeidsområdeidentiteten, og hvordan du kan overvåke den i Microsoft Purview og Azure.

Tilgangskontroll

Arbeidsområdeidentitet kan opprettes og slettes av administratorer for arbeidsområdet. Arbeidsområdeidentiteten har rollen som bidragsyter for arbeidsområdet i arbeidsområdet.

Arbeidsområdeidentitet støttes for godkjenning til målressurser i tilkoblinger. Bare brukere med en administrator-, medlems- eller bidragsyterrolle i arbeidsområdet kan konfigurere arbeidsområdeidentiteten for godkjenning i tilkoblinger.

Programadministratorer eller brukere med høyere roller kan vise, endre og slette tjenestekontohaveren og appregistreringen som er knyttet til arbeidsområdeidentiteten i Azure.

Advarsel!

Det anbefales ikke å endre eller slette tjenestekontohaveren eller appregistreringen i Azure, da det vil føre til at stoffelementer som er avhengige av arbeidsområdeidentitet, slutter å fungere.

Administrere arbeidsområdeidentiteten i Fabric

Fabric-administratorer kan administrere identiteter for arbeidsområdet som er opprettet i leieren på Stoffidentiteter-fanen i administrasjonsportalen.

  1. Gå til stoffidentiteter-fanen i administrasjonsportalen.
  2. Velg en arbeidsområdeidentitet, og velg deretter Detaljer.
  3. I Detaljer-fanen kan du vise tilleggsinformasjon relatert til arbeidsområdeidentiteten.
  4. Du kan også slette en arbeidsområdeidentitet.

    Merk

    Arbeidsområdeidentiteter kan ikke gjenopprettes etter sletting. Pass på å se gjennom konsekvensene av å slette en arbeidsområdeidentitet som er beskrevet i Slett en arbeidsområdeidentitet.

Administrere arbeidsområdeidentiteten i Purview

Du kan vise overvåkingshendelsene som genereres ved oppretting og sletting av arbeidsområdeidentitet i purview-overvåkingsloggen. Slik får du tilgang til loggen

  1. Gå til Microsoft Purview-huben.
  2. Velg overvåkingsflisen.
  3. Bruk feltet Aktiviteter – egendefinerte navn til å søke etter stoffidentitet i overvåkingssøkskjemaet som vises. For øyeblikket er følgende aktiviteter relatert til arbeidsområdeidentiteter:
    • Opprettet stoffidentitet for arbeidsområde
    • Hentet stoffidentitet for arbeidsområde
    • Slettet stoffidentitet for arbeidsområde
    • Hentet stoffidentitetstoken for arbeidsområde

Administrere arbeidsområdeidentiteten i Azure

Programmet som er knyttet til arbeidsområdeidentiteten, kan vises under både Enterprise-programmer og appregistreringer i Azure-portalen.

Enterprise-programmer

Programmet som er knyttet til arbeidsområdeidentiteten, kan ses i Enterprise Applications i Azure-portalen. Fabric Identity Management-appen er konfigurasjonseieren.

Advarsel!

Endringer i programmet som er gjort her, fører til at arbeidsområdeidentiteten slutter å fungere.

Slik viser du overvåkingsloggene og påloggingsloggene for denne identiteten:

  1. Logg deg på Azure-portalen.
  2. Gå til Microsoft Entra ID > Enterprise Applications.
  3. Velg enten overvåkingslogger eller Logg på logger etter ønske.

Appregistreringer

Programmet som er knyttet til arbeidsområdeidentiteten, kan ses under appregistreringer i Azure-portalen. Ingen endringer bør gjøres der, da dette vil føre til at arbeidsområdeidentiteten slutter å fungere.

Avanserte scenarioer

Avsnittene nedenfor beskriver scenarioer som involverer identiteter for arbeidsområdet som kan oppstå.

Slette identiteten

Arbeidsområdeidentiteten kan slettes i innstillingene for arbeidsområdet. Når en identitet slettes, vil stoffelementer som er avhengige av arbeidsområdeidentiteten for klarert arbeidsområdetilgang eller godkjenning, brytes. Slettede arbeidsområdeidentiteter kan ikke gjenopprettes.

Når et arbeidsområde slettes, slettes også arbeidsområdeidentiteten. Hvis arbeidsområdet gjenopprettes etter sletting, gjenopprettes ikke arbeidsområdeidentiteten. Hvis du vil at det gjenopprettede arbeidsområdet skal ha en arbeidsområdeidentitet, må du opprette et nytt.

Gi nytt navn til arbeidsområdet

Når et arbeidsområde får nytt navn, får du også nytt navn på arbeidsområdeidentiteten for å samsvare med navnet på arbeidsområdet. Microsoft Entra-programmet og tjenestekontohaveren forblir imidlertid den samme. Vær oppmerksom på at det kan være flere program- og appregistreringsobjekter med samme navn i en leier.

Hensyn og begrensninger

  • En arbeidsområdeidentitet kan opprettes i et hvilket som helst arbeidsområde unntatt et Mitt arbeidsområde.
  • Hvis et arbeidsområde med en arbeidsområdeidentitet overføres til en ikke-stoffkapasitet eller til en ikke-F SKU Fabric-kapasitet, deaktiveres eller slettes ikke identiteten, men stoffelementer som er avhengige av klarert arbeidsområdetilgang, slutter å fungere.
  • Maksimalt 1000 arbeidsområdeidentiteter kan opprettes i en leier. Når denne grensen er nådd, må identiteter for arbeidsområdet slettes for å gjøre det mulig å opprette nyere identiteter.
  • Azure Data Lake Storage Gen2-snarveier i et arbeidsområde som har en arbeidsområdeidentitet, vil være i stand til klarert tjenestetilgang.

Feilsøke problemer med å opprette en arbeidsområdeidentitet

  • Hvis du ikke kan opprette en arbeidsområdeidentitet fordi opprettingsknappen er deaktivert, må du kontrollere at du har rollen som administrator for arbeidsområdet.

  • Hvis du støter på problemer første gang du oppretter en arbeidsområdeidentitet i leieren, kan du prøve følgende fremgangsmåte:

    1. Hvis identitetstilstanden for arbeidsområdet mislykkes, venter du i en time og sletter deretter identiteten.
    2. Når identiteten er slettet, venter du 5 minutter og oppretter deretter identiteten på nytt.