Partilhar via


Identidade do espaço de trabalho

Uma identidade de espaço de trabalho de malha é uma entidade de serviço gerenciada automaticamente que pode ser associada a um espaço de trabalho de malha. Os espaços de trabalho de malha com uma identidade de espaço de trabalho podem ler ou gravar com segurança em contas do Azure Data Lake Storage Gen2 habilitadas para firewall por meio de acesso a espaços de trabalho confiáveis para atalhos do OneLake. Os itens de malha podem usar a identidade ao se conectar a recursos que oferecem suporte à autenticação do Microsoft Entra. O Fabric usa identidades de espaço de trabalho para obter tokens do Microsoft Entra sem que o cliente precise gerenciar nenhuma credencial.

As identidades de espaço de trabalho podem ser criadas nas configurações de espaço de trabalho de qualquer espaço de trabalho, exceto Meus espaços de trabalho. Uma identidade de espaço de trabalho é atribuída automaticamente à função de colaborador do espaço de trabalho e tem acesso aos itens do espaço de trabalho.

Quando você cria uma identidade de espaço de trabalho, o Fabric cria uma entidade de serviço na ID do Microsoft Entra para representar a identidade. Um registro de aplicativo que acompanha também é criado. O Fabric gerencia automaticamente as credenciais associadas às identidades do espaço de trabalho, evitando vazamentos de credenciais e tempo de inatividade devido ao tratamento inadequado de credenciais.

Nota

A identidade do espaço de trabalho de malha está disponível em geral. Você pode criar uma identidade de espaço de trabalho em qualquer espaço de trabalho, exceto Meu espaço de trabalho.

Embora as identidades do espaço de trabalho do Fabric compartilhem algumas semelhanças com as identidades gerenciadas do Azure, seu ciclo de vida, administração e governança são diferentes. Uma identidade de espaço de trabalho tem um ciclo de vida independente que é gerenciado inteiramente no Fabric. Um espaço de trabalho de malha pode, opcionalmente, ser associado a uma identidade. Quando o espaço de trabalho é excluído, a identidade é excluída. O nome da identidade do espaço de trabalho é sempre o mesmo que o nome do espaço de trabalho ao qual está associado.

Criar e gerenciar uma identidade de espaço de trabalho

Você deve ser um administrador de espaço de trabalho para poder criar e gerenciar uma identidade de espaço de trabalho. O espaço de trabalho para o qual você está criando a identidade não pode ser um Meu Espaço de Trabalho.

  1. Navegue até o espaço de trabalho e abra as configurações do espaço de trabalho.
  2. Selecione a guia Identidade do espaço de trabalho.
  3. Selecione o botão + Identidade do espaço de trabalho.

Quando a identidade do espaço de trabalho tiver sido criada, a guia exibirá os detalhes da identidade do espaço de trabalho e a lista de usuários autorizados.

Captura de tela mostrando detalhes de identidade do espaço de trabalho.

As seções da configuração de identidade do espaço de trabalho são descritas nas seções a seguir.

Detalhes de identidade

Detalhe Description
Nome Nome da identidade do espaço de trabalho. O nome da identidade do espaço de trabalho é o mesmo que o nome do espaço de trabalho.
ID O GUID de identidade do espaço de trabalho. Este é um identificador exclusivo para a identidade.
Função A função de espaço de trabalho atribuída à identidade. As identidades do espaço de trabalho recebem automaticamente a função de colaborador após a criação.
Distrito O estado do espaço de trabalho. Valores possíveis: Ativo, Inativo, Excluindo, Inutilizável, Falha, DeleteFailed

Utilizadores autorizados

Para obter informações, consulte Controle de acesso.

Excluir uma identidade de espaço de trabalho

Quando uma identidade é excluída, os itens de malha que dependem da identidade do espaço de trabalho para acesso ou autenticação de espaço de trabalho confiável serão interrompidos. As identidades de espaço de trabalho excluídas não podem ser restauradas.

Nota

Quando um espaço de trabalho é excluído, sua identidade de espaço de trabalho também é excluída. Se o espaço de trabalho for restaurado após a exclusão, a identidade do espaço de trabalho não será restaurada. Se quiser que o espaço de trabalho restaurado tenha uma identidade de espaço de trabalho, crie um novo.

Como usar a identidade do espaço de trabalho

Atualmente, a identidade do espaço de trabalho pode ser usada de duas maneiras:

  • Para autenticação: consulte Autenticar com identidade de espaço de trabalho

  • Para acesso a espaços de trabalho confiáveis: os atalhos em um espaço de trabalho que tenha uma identidade de espaço de trabalho podem ser usados para acesso a serviços confiáveis. Para obter mais informações, consulte Acesso a espaços de trabalho confiáveis.

Segurança, administração e governança da identidade do espaço de trabalho

As seções a seguir descrevem quem pode usar a identidade do espaço de trabalho e como você pode monitorá-la no Microsoft Purview e no Azure.

Controlo de acesso

A identidade do espaço de trabalho pode ser criada e excluída pelos administradores do espaço de trabalho. A identidade do espaço de trabalho tem a função de colaborador do espaço de trabalho no espaço de trabalho.

A identidade do espaço de trabalho é suportada para autenticação para direcionar recursos em conexões. Somente usuários com uma função de administrador, membro ou colaborador no espaço de trabalho podem configurar a identidade do espaço de trabalho para autenticação em conexões.

Os administradores de aplicativos ou usuários com funções superiores podem exibir, modificar e excluir a entidade de serviço e o registro do aplicativo associados à identidade do espaço de trabalho no Azure.

Aviso

Modificar ou excluir a entidade de serviço ou o registro do aplicativo no Azure não é recomendado, pois isso fará com que os itens de malha que dependem da identidade do espaço de trabalho parem de funcionar.

Administrar a identidade do espaço de trabalho no Fabric

Os administradores de malha podem administrar as identidades de espaço de trabalho criadas em seu locatário na guia Identidades de malha no portal de administração.

  1. Navegue até a guia Identidades de malha no Portal de administração.
  2. Selecione uma identidade de espaço de trabalho e, em seguida, selecione Detalhes.
  3. Na guia Detalhes, você pode exibir informações adicionais relacionadas à identidade do espaço de trabalho.
  4. Você também pode excluir uma identidade de espaço de trabalho.

    Nota

    As identidades do espaço de trabalho não podem ser restauradas após a exclusão. Certifique-se de revisar as consequências da exclusão de uma identidade de espaço de trabalho descrita em Excluir uma identidade de espaço de trabalho.

Administrar a identidade do espaço de trabalho no Purview

Você pode exibir os eventos de auditoria gerados após a criação e exclusão da identidade do espaço de trabalho no Purview Audit Log. Para aceder ao registo

  1. Navegue até o hub Microsoft Purview.
  2. Selecione o bloco Auditoria .
  3. No formulário de pesquisa de auditoria exibido, use o campo Atividades - nomes amigáveis para procurar identidade de malha para localizar as atividades relacionadas às identidades do espaço de trabalho. Atualmente, as seguintes atividades relacionadas às identidades do espaço de trabalho são:
    • Identidade de malha criada para espaço de trabalho
    • Identidade de malha recuperada para espaço de trabalho
    • Identidade de malha excluída para espaço de trabalho
    • Token de identidade de malha recuperado para espaço de trabalho

Administrar a identidade do espaço de trabalho no Azure

O aplicativo associado à identidade do espaço de trabalho pode ser exibido em aplicativos corporativos e registros de aplicativo no portal do Azure.

Aplicações Empresariais

O aplicativo associado à identidade do espaço de trabalho pode ser visto em Aplicativos Empresariais no portal do Azure. O aplicativo Fabric Identity Management é seu proprietário de configuração.

Aviso

As modificações no aplicativo feitas aqui farão com que a identidade do espaço de trabalho pare de funcionar.

Para exibir os logs de auditoria e os logs de entrada para essa identidade:

  1. Inicie sessão no portal do Azure.
  2. Navegue até Microsoft Entra ID > Enterprise Applications.
  3. Selecione Logs de auditoria ou Entrar em logs, conforme desejado.

Registos de aplicações

O aplicativo associado à identidade do espaço de trabalho pode ser visto em Registros de aplicativo no portal do Azure. Nenhuma modificação deve ser feita lá, pois isso fará com que a identidade do espaço de trabalho pare de funcionar.

Cenários avançados

As seções a seguir descrevem cenários envolvendo identidades de espaço de trabalho que podem ocorrer.

Eliminar a identidade

A identidade do espaço de trabalho pode ser excluída nas configurações do espaço de trabalho. Quando uma identidade é excluída, os itens de malha que dependem da identidade do espaço de trabalho para acesso ou autenticação de espaço de trabalho confiável serão interrompidos. As identidades de espaço de trabalho excluídas não podem ser restauradas.

Quando um espaço de trabalho é excluído, sua identidade de espaço de trabalho também é excluída. Se o espaço de trabalho for restaurado após a exclusão, a identidade do espaço de trabalho não será restaurada. Se quiser que o espaço de trabalho restaurado tenha uma identidade de espaço de trabalho, crie um novo.

Renomeando o espaço de trabalho

Quando um espaço de trabalho é renomeado, a identidade do espaço de trabalho também é renomeada para corresponder ao nome do espaço de trabalho. No entanto, o aplicativo Microsoft Entra e a entidade de serviço permanecem os mesmos. Observe que pode haver vários objetos de registro de aplicativo e aplicativo com o mesmo nome em um locatário.

Considerações e limitações

  • Uma identidade de espaço de trabalho pode ser criada em qualquer espaço de trabalho, exceto em Meu Espaço de Trabalho.
  • Se um espaço de trabalho com uma identidade de espaço de trabalho for migrado para uma capacidade que não seja de malha ou para uma capacidade de malha de SKU que não seja F, a identidade não será desabilitada ou excluída, mas os itens de malha que dependem de acesso confiável ao espaço de trabalho deixarão de funcionar.
  • Um máximo de 1.000 identidades de espaço de trabalho podem ser criadas em um locatário. Uma vez atingido esse limite, as identidades do espaço de trabalho devem ser excluídas para permitir que as mais recentes sejam criadas.
  • Os atalhos do Azure Data Lake Storage Gen2 em um espaço de trabalho que tenha uma identidade de espaço de trabalho serão capazes de acesso a serviços confiáveis.

Solução de problemas com a criação de uma identidade de espaço de trabalho

  • Se não for possível criar uma identidade de espaço de trabalho porque o botão de criação está desativado, verifique se você tem a função de administrador do espaço de trabalho.

  • Se você tiver problemas na primeira vez que criar uma identidade de espaço de trabalho em seu locatário, tente as seguintes etapas:

    1. Se o estado de identidade do espaço de trabalho falhar, aguarde uma hora e exclua a identidade.
    2. Depois que a identidade for excluída, aguarde 5 minutos e crie a identidade novamente.