Freigeben über


Arbeitsbereich-Identität

Eine Fabric-Arbeitsbereich-Identität ist ein automatisch verwalteter Dienstprinzipal, der einem Fabric-Arbeitsbereich zugeordnet werden kann. Fabric-Workspaces mit einer Arbeitsbereich-Identität können über den vertrauenswürdigen Zugang zum Arbeitsbereich für OneLake-Verknüpfungen sicher auf Firewall-aktivierte Azure Data Lake Storage Gen2-Konten lesen oder schreiben. Fabric-Elemente können die Identität verwenden, wenn sie eine Verbindung mit Ressourcen herstellen, die die Microsoft Entra-Authentifizierung unterstützen. Fabric verwendet Arbeitsbereichsidentitäten, um Microsoft Entra-Token abzurufen, ohne dass der Kunde Anmeldeinformationen verwalten muss.

Arbeitsbereichsidentitäten können in den Einstellungen eines beliebigen Arbeitsbereichs mit Ausnahme von „Meine Arbeitsbereiche“ erstellt werden. Einer Arbeitsbereich-Identität wird automatisch die Rolle des Arbeitsbereich-Mitarbeiters zugewiesen und sie hat Zugriff auf Elemente des Arbeitsbereichs.

Wenn Sie eine Arbeitsbereich-Identität erstellen, erstellt Fabric einen Dienstprinzipal in Microsoft Entra ID, um die Identität zu sichern. Außerdem wird eine begleitende App-Registrierung erstellt. Fabric verwaltet automatisch die Anmeldeinformationen, die Arbeitsbereich-Identitäten zugeordnet sind, wodurch Anmeldedatenlecks und Ausfallzeiten aufgrund einer unsachgemäßen Verarbeitung von Anmeldeinformationen verhindert werden.

Hinweis

Fabric-Arbeitsbereichsidentität ist allgemein verfügbar. Sie können eine Arbeitsbereichsidentität in einem beliebigen Arbeitsbereich erstellen, außer unter Mein Arbeitsbereich.

Während Fabric Arbeitsbereich-Identitäten einige Ähnlichkeiten mit verwalteten Azure-Identitäten aufweisen, sind ihr Lebenszyklus, ihre Verwaltung und ihre Administration unterschiedlich. Eine Arbeitsbereich-Identität verfügt über einen unabhängigen Lebenszyklus, der vollständig in Fabric verwaltet wird. Ein Fabric-Arbeitsbereich kann optional einer Identität zugeordnet werden. Wenn der Arbeitsbereich gelöscht wird, wird auch die Identität gelöscht. Der Name der Arbeitsbereich-Identität ist immer identisch mit dem Namen des Arbeitsbereichs, dem er zugeordnet ist.

Erstellen und Verwalten einer Arbeitsbereich-Identität

Sie müssen ein Administrator des Arbeitsbereichs sein, um eine Arbeitsbereich-Identität erstellen und verwalten zu können. Der Arbeitsbereich, für den Sie die Identität erstellen, kann nicht Mein Arbeitsbereich sein.

  1. Navigieren Sie zum Arbeitsbereich, und öffnen Sie die Einstellungen des Arbeitsbereichs.
  2. Wählen Sie die Tab Arbeitsbereich-Identität aus.
  3. Wählen Sie die Taste + Arbeitsbereich-Identität.

Wenn die Arbeitsbereichsidentität erstellt wurde, zeigt die Registerkarte deren Details und die Liste der autorisierten Benutzer*innen an.

Screenshot mit Details zur Arbeitsbereichsidentität.

Die Methoden zum Konfigurieren der Arbeitsbereich-Identität werden in den folgenden Abschnitten beschrieben.

Identitätsdetails

Detail Beschreibung
Name Name der Arbeitsbereich-Identität. Die Arbeitsbereich-Identität trägt denselben Namen wie der Arbeitsbereich.
ID Die Arbeitsbereich-Identität GUID. Dies ist ein eindeutiger Bezeichner der Identität.
Rolle Die Rolle im Arbeitsbereich, die der Identität zugewiesen ist. Arbeitsbereichs-Identitäten wird beim Erstellen automatisch die Rolle des Mitwirkenden zugewiesen.
State Der Status des Arbeitsbereichs. Mögliche Werte: Aktiv, Inaktiv, Löschen, nicht verwendbar, fehlgeschlagen, Löschen gescheitert

Autorisierte Benutzer

Weitere Informationen finden Sie unter Access Control.

Löschen einer Arbeitsbereich-Identität

Wenn eine Identität gelöscht wird, werden Fabric-Elemente, die sich auf die Arbeitsbereich-Identität für den vertrauenswürdigen Zugriff auf den Arbeitsbereich oder die Authentifizierung verlassen, nicht mehr funktionieren. Gelöschte Arbeitsbereich-Identitäten können nicht wiederhergestellt werden.

Hinweis

Wenn ein Arbeitsbereich gelöscht wird, wird auch die Arbeitsbereich-Identität gelöscht. Wenn der Arbeitsbereich nach dem Löschen wiederhergestellt wird, wird die Arbeitsbereich-Identität nicht wiederhergestellt. Wenn der wiederhergestellte Arbeitsbereich über eine Arbeitsbereich-Identität verfügen soll, müssen Sie eine neue erstellen.

Verwenden der Arbeitsbereich-Identität

Eine Arbeitsbereichsidentität kann derzeit auf zwei Arten verwendet werden:

Sicherheit, Verwaltung und Management der Arbeitsbereich-Identität

In den folgenden Abschnitten wird beschrieben, wer die Arbeitsbereich-Identität verwenden kann und wie Sie sie in Microsoft Purview und Azure überwachen können.

Zugriffssteuerung

Arbeitsbereich-Identität kann von Administratoren des Arbeitsbereichs erstellt und gelöscht werden. Die Arbeitsbereich-Identität weist die Rolle des Arbeitsbereich-Mitwirkenden im Arbeitsbereich auf.

Die Arbeitsbereichsidentität wird für die Authentifizierung von Zielressourcen in Verbindungen nicht unterstützt. Nur Benutzer mit der Rolle Administrator, Mitglied oder Mitwirkender im Arbeitsbereich können die Arbeitsbereichsidentität für die Authentifizierung in Verbindungen konfigurieren.

Anwendungs-Administratoren oder Benutzer mit höheren Rollen können den Dienstprinzipal und die App-Registrierung anzeigen, ändern und löschen, die der Arbeitsbereich-Identität in Azure zugeordnet ist.

Warnung

Das Ändern oder Löschen der Dienstprinzipal- oder App-Registrierung in Azure wird nicht empfohlen, da Fabric-Elemente, die sich auf die Arbeitsbereich-Identität verlassen, nicht mehr funktionieren.

Verwalten der Arbeitsbereich-Identität in Fabric

Fabric-Administratoren können die in ihrem Mandanten erstellten Arbeitsbereichs-Identitäten auf der Registerkarte Fabric-Identitäten im Admin-Portal verwalten.

  1. Navigieren Sie im Adminportal zur Registerkarte Fabric-Identitäten.
  2. Wählen Sie eine Arbeitsbereichsidentität und dann Details aus.
  3. Auf der Registerkarte Details können Sie weitere Informationen zur Arbeitsbereichsidentität anzeigen.
  4. Sie können auch eine Arbeitsbereichsidentität löschen.

    Hinweis

    Arbeitsbereichsidentitäten können nach dem Löschen nicht wiederhergestellt werden. Überprüfen Sie unbedingt die Folgen des Löschens einer Arbeitsbereichsidentität, die unter Löschen einer Arbeitsbereichsidentität beschrieben ist.

Verwalten der Arbeitsbereich-Identität in Purview

Sie können die Prüfereignisse, die bei der Erstellung und Löschung von Arbeitsbereich-Identitäten generiert werden, im Purview Überwachungsprotokoll einsehen. Um auf das Protokoll zuzugreifen

  1. Navigieren Sie zum Microsoft Purview-Hub.
  2. Wählen Sie die Kachel Überwachung.
  3. Verwenden Sie in dem daraufhin angezeigten Überwachungsformular das Feld Aktivitäten - Friendly Names für die Suche nach Fabric-Identitäten, um die mit den Arbeitsbereich-Identitäten verbundenen Aktivitäten zu finden. Derzeit gibt es folgende Aktivitäten in Verbindung mit der Arbeitsbereich-Identität:
    • Fabric-Identität für Arbeitsbereich erstellt
    • Fabric-Identität für Arbeitsbereich abgerufen
    • Fabric-Identität für Arbeitsbereich gelöscht
    • Fabric-Identität Token für Arbeitsbereich abgerufen

Verwalten der Arbeitsbereich-Identität in Azure

Die Anwendung, die der Arbeitsbereich-Identität zugeordnet ist, kann sowohl unter Enterprise-Anwendungen als auch unter App-Registrierungen im Azure-Portal angezeigt werden.

Unternehmensanwendungen

Die Anwendung, die der Arbeitsbereich-Identität zugeordnet ist, kann unter Enterprise-Anwendungen im Azure-Portal angezeigt werden. Die Fabric Identity Management-App ist der Eigentümer der Konfiguration.

Warnung

Änderungen an der Anwendung, die hier vorgenommen werden, führen dazu, dass die Arbeitsbereich-Identität nicht mehr funktioniert.

So zeigen Sie die Überwachungsprotokolle und Anmeldeprotokolle für diese Identität an:

  1. Melden Sie sich beim Azure-Portal an.
  2. Navigieren Sie zu Microsoft Entra ID > Enterprise Anwendungen.
  3. Wählen Sie entweder Überwachungsprotokolle oder Anmeldeprotokolle nach Bedarf aus.

App-Registrierungen

Die Anwendung, die der Arbeitsbereich-Identität zugeordnet ist, kann unter App-Registrierungen im Azure-Portal angezeigt werden. Dort sollten keine Änderungen vorgenommen werden, da dadurch die Arbeitsbereich-Identität nicht mehr funktioniert.

Erweiterte Szenarios

In den folgenden Abschnitten werden Szenarien mit Arbeitsbereich-Identitäten beschrieben, die auftreten können.

Löschen der Identität

Die Arbeitsbereich-Identität kann in den Einstellungen des Arbeitsbereichs gelöscht werden. Wenn eine Identität gelöscht wird, werden Fabric-Elemente, die sich auf die Arbeitsbereich-Identität für den vertrauenswürdigen Zugriff auf den Arbeitsbereich oder die Authentifizierung verlassen, nicht mehr funktionieren. Gelöschte Arbeitsbereich-Identitäten können nicht wiederhergestellt werden.

Wenn ein Arbeitsbereich gelöscht wird, wird auch die Arbeitsbereich-Identität gelöscht. Wenn der Arbeitsbereich nach dem Löschen wiederhergestellt wird, wird die Arbeitsbereich-Identität nicht wiederhergestellt. Wenn der wiederhergestellte Arbeitsbereich über eine Arbeitsbereich-Identität verfügen soll, müssen Sie eine neue erstellen.

Umbenennen des Arbeitsbereichs

Wenn ein Arbeitsbereich umbenannt wird, wird auch die Arbeitsbereich-Identität entsprechend dem Namen des Arbeitsbereichs umbenannt. Die Microsoft Entra-Anwendung und der Dienstprinzipal bleiben jedoch unverändert. Beachten Sie, dass mehrere Anwendungs- und App-Registrierungsobjekte mit demselben Namen in einem Mandanten vorhanden sein können.

Überlegungen und Einschränkungen

  • Eine Arbeitsbereichsidentität kann in einem beliebigen Arbeitsbereich erstellt werden, außer unter Mein Arbeitsbereich.
  • Wenn ein Arbeitsbereich mit einer Arbeitsbereichsidentität zu einer Nicht-Fabric oder einer Nicht-F-SKU-Fabric-Kapazität migriert wird, wird die Identität nicht deaktiviert oder gelöscht. Fabric-Elemente, die einen vertrauenswürdigen Zugriff auf einen Arbeitsbereich erfordern, funktionieren jedoch nicht mehr.
  • In einem Mandanten können maximal 1.000 Arbeitsbereich-Identitäten angelegt werden. Sobald dieser Grenzwert erreicht ist, müssen Arbeitsbereich-Identitäten gelöscht werden, damit neuere erstellt werden können.
  • Azure Data Lake Storage Gen2-Verknüpfungen in einem Arbeitsbereich, der über eine Arbeitsbereich-Identität verfügt, sind in der Lage, vertrauenswürdigen Dienstzugriff zu erhalten.

Problembehandlung bei der Erstellung einer Arbeitsbereich-Identität

  • Wenn Sie keine Arbeitsbereichsidentität erstellen können, da die Schaltfläche zum Erstellen deaktiviert ist, stellen Sie sicher, dass Sie über die Rolle Administrator im Arbeitsbereich verfügen.

  • Wenn beim ersten Erstellen einer Arbeitsbereich-Identität in Ihrem Mandanten Probleme auftreten, führen Sie die folgenden Schritte aus:

    1. Wenn der Identitätsstatus des Arbeitsbereichs fehlgeschlagen ist, warten Sie eine Stunde, und löschen Sie dann die Identität.
    2. Nachdem die Identität gelöscht wurde, warten Sie 5 Minuten, und erstellen Sie die Identität erneut.