Un'identità dell'area di lavoro di Fabric è un'entità servizio gestita automaticamente che può essere associata a un'area di lavoro di Fabric. Le aree di lavoro di Fabric con un'identità dell'area di lavoro possono leggere o scrivere in modo sicuro in account Azure Data Lake Storage Gen2 abilitati per il firewall tramite accesso attendibile all'area di lavoro per i collegamenti OneLake. Gli elementi dell'infrastruttura possono usare l'identità durante la connessione alle risorse che supportano l'autenticazione di Microsoft Entra. Fabric usa le identità dell'area di lavoro per ottenere i token di Microsoft Entra senza che il cliente abbia la necessità di gestire le credenziali.
Le identità dell'area di lavoro possono essere create nelle impostazioni dell'area di lavoro di qualsiasi area di lavoro, ad eccezione delle aree di lavoro personali. Un'identità dell'area di lavoro viene assegnata automaticamente al ruolo collaboratore dell'area di lavoro e ha accesso agli elementi dell'area di lavoro.
Quando si crea un'identità dell'area di lavoro, Fabric crea un'entità servizio in Microsoft Entra ID per rappresentare l'identità. Viene creata anche una registrazione dell'app associata. Fabric gestisce automaticamente le credenziali associate alle identità dell'area di lavoro, impedendo così perdite di credenziali e tempi di inattività dovuti alla gestione non corretta delle credenziali.
Nota
L'identità dell'area di lavoro di Fabric è disponibile a livello generale. È possibile creare un'identità dell'area di lavoro in qualsiasi area di lavoro, ad eccezione dell'area di lavoro personale.
Anche se le identità dell'area di lavoro di Fabric condividono alcune analogie con le identità gestite di Azure, il ciclo di vita, l'amministrazione e la governance sono diversi. Un'identità dell'area di lavoro ha un ciclo di vita indipendente gestito interamente in Fabric. Un'area di lavoro di Fabric può essere facoltativamente associata a un'identità. Quando l'area di lavoro viene eliminata, anche l'identità viene eliminata. Il nome dell'identità dell'area di lavoro è sempre uguale al nome dell'area di lavoro a cui è associato.
Creare e gestire l'identità di un'area di lavoro
È necessario essere un amministratore dell'area di lavoro per poter creare e gestire un'identità dell'area di lavoro. L'area di lavoro per cui si sta creando l'identità non può essere un'area di lavoro personale.
Passare all'area di lavoro e aprire le impostazioni dell'area di lavoro.
Selezionare la scheda Identità area di lavoro.
Selezionare il pulsante + Identità area di lavoro.
Dopo aver creato l'identità dell'area di lavoro, nella scheda vengono visualizzati i dettagli dell'identità dell'area di lavoro e l'elenco degli utenti autorizzati.
Le sezioni della configurazione dell'identità dell'area di lavoro sono descritte nelle sezioni seguenti.
Dettagli identità
Dettagli
Descrizione
Nome
Nome dell'identità dell'area di lavoro. Il nome dell'identità dell'area di lavoro ha lo stesso nome di quest'ultima.
ID
GUID dell'identità dell'area di lavoro. È un identificatore univoco dell'identità.
Ruolo
Il ruolo dell'area di lavoro assegnato all'identità. Le identità dell'area di lavoro vengono assegnate automaticamente al ruolo collaboratore al momento della creazione.
Stato
Lo stato dell'area di lavoro. Valori possibili: Attivo, Inattivo, Eliminazione in corso, Inutilizzabile, Non riuscito, Eliminazione non riuscita
Quando un'identità viene eliminata, gli elementi di Fabric che si basano sull'identità dell'area di lavoro per l'accesso o l'autenticazione dell'area di lavoro attendibile verranno interrotti. Non è possibile ripristinare le identità delle aree di lavoro eliminate.
Nota
Quando un'area di lavoro viene eliminata, viene eliminata anche la sua identità dell'area di lavoro. Se l'area di lavoro viene ripristinata dopo l'eliminazione, l'identità dell'area di lavoro non viene ripristinata. Se si vuole che l'area di lavoro ripristinata abbia un'identità dell'area di lavoro, è necessario crearne una nuova.
Come usare l'identità dell'area di lavoro
L'identità dell'area di lavoro attualmente può essere usata in due modi:
Per l'accesso all'area di lavoro attendibile: i collegamenti in un'area di lavoro con un'identità dell'area di lavoro possono essere usati per l'accesso al servizio attendibile. Per altre informazioni, vedere accesso attendibile alle aree di lavoro.
Sicurezza, amministrazione e governance dell'identità dell'area di lavoro
Le sezioni seguenti descrivono chi può usare l'identità dell'area di lavoro e come monitorarla in Microsoft Purview e Azure.
L'identità dell'area di lavoro è supportata per l'autenticazione per le risorse di destinazione nelle connessioni. Solo gli utenti con ruolo amministratore, membro o collaboratore nell'area di lavoro possono configurare l'identità dell'area di lavoro per l'autenticazione nelle connessioni.
Gli amministratori di applicazioni o gli utenti con ruoli superiori possono visualizzare, modificare ed eliminare l'entità servizio e la registrazione dell'app associate all'identità dell'area di lavoro in Azure.
Avviso
Non è consigliabile modificare o eliminare l'entità servizio o la registrazione dell'app in Azure, perché gli elementi di Fabric che si basano sull'identità dell'area di lavoro smetteranno di funzionare.
Amministrare l'identità dell'area di lavoro in Fabric
Gli amministratori di Fabric possono amministrare le identità dell'area di lavoro create nel tenant nella scheda identità Fabric del portale di amministrazione.
Passare alla scheda identità Fabric nel portale di amministrazione.
Selezionare un'identità dell'area di lavoro, quindi selezionare Dettagli.
Nella scheda Dettagli è possibile visualizzare informazioni aggiuntive correlate all'identità dell'area di lavoro.
È anche possibile eliminare un'identità dell'area di lavoro.
Nota
Non è possibile ripristinare le identità dell'area di lavoro dopo l'eliminazione. Assicurarsi di esaminare le conseguenze dell'eliminazione di un'identità dell'area di lavoro descritte in Eliminare un'identità dell'area di lavoro.
Amministrare l'identità dell'area di lavoro in Purview
È possibile visualizzare gli eventi di controllo generati durante la creazione e l'eliminazione dell'identità dell'area di lavoro nel log di controllo di Purview. Accesso ai log
Nel modulo di ricerca di controllo visualizzato, usare il campo Attività: nomi descrittivi per cercare l'identità di Fabric per trovare le attività correlate alle identità dell'area di lavoro. Attualmente, le attività seguenti correlate alle identità dell'area di lavoro sono:
Identità di Fabric creata per l'area di lavoro
Identità di Fabric recuperata per l'area di lavoro
Identità di Fabric eliminata per l'area di lavoro
Token di identità Fabric recuperato per l'area di lavoro
Amministrare l'identità dell'area di lavoro in Azure
L'applicazione associata all'identità dell'area di lavoro può essere visualizzata sia in Applicazioni aziendali che in Registrazioni app nel portale di Azure.
Applicazioni aziendali
L'applicazione associata all'identità dell'area di lavoro può essere visualizzata in Applicazioni aziendali nel portale di Azure. L'app Fabric Identity Management è il proprietario della configurazione.
Avviso
Le modifiche qui apportate all'applicazione causeranno l'interruzione del funzionamento dell'identità dell'area di lavoro.
Per visualizzare i log di controllo e i log di accesso per questa identità:
Accedere al portale di Azure.
Passare a Microsoft Entra ID > Applicazioni aziendali.
Selezionare Log di controllo o Log di accesso, secondo preferenza.
Registrazioni app
L'applicazione associata all'identità dell'area di lavoro può essere visualizzata in Registrazioni app nel portale di Azure. Non è consigliabile apportare modifiche perché l'identità dell'area di lavoro smetterebbe di funzionare.
Scenari avanzati
Le sezioni seguenti descrivono scenari che coinvolgono identità dell'area di lavoro che potrebbero verificarsi.
Eliminazione dell'identità
L'identità dell'area di lavoro può essere eliminata nelle impostazioni dell'area di lavoro. Quando un'identità viene eliminata, gli elementi di Fabric che si basano sull'identità dell'area di lavoro per l'accesso o l'autenticazione dell'area di lavoro attendibile verranno interrotti. Non è possibile ripristinare le identità delle aree di lavoro eliminate.
Quando un'area di lavoro viene eliminata, viene eliminata anche la sua identità dell'area di lavoro. Se l'area di lavoro viene ripristinata dopo l'eliminazione, l'identità dell'area di lavoro non viene ripristinata. Se si vuole che l'area di lavoro ripristinata abbia un'identità dell'area di lavoro, è necessario crearne una nuova.
Rinominare l'area di lavoro
Quando un'area di lavoro viene rinominata, l'identità dell'area di lavoro viene rinominata anch'essa in modo che corrisponda al nome dell'area di lavoro. Tuttavia, l'applicazione Microsoft Entra e l'entità servizio rimangono invariate. Si noti che possono essere presenti più oggetti applicazioni e registrazioni app con lo stesso nome in un tenant.
Considerazioni e limitazioni
È possibile creare un'identità dell'area di lavoro in qualsiasi area di lavoro, ad eccezione di un'area di lavoro personale.
Se viene eseguita la migrazione di un'area di lavoro con un'identità dell'area di lavoro a una capacità non infrastruttura infrastruttura o a una capacità non F SKU Fabric, l'identità non verrà disabilitata o eliminata, ma gli elementi dell'infrastruttura che si basano sull'accesso all'area di lavoro attendibile smetteranno di funzionare.
È possibile creare un massimo di 1.000 identità dell'area di lavoro in un tenant. Una volta raggiunto questo limite, è necessario eliminare le identità dell'area di lavoro per consentire la creazione di quelle più recenti.
I collegamenti di Azure Data Lake Storage Gen2 in un'area di lavoro con un'identità dell'area di lavoro saranno in grado di accedere ai servizi attendibili.
Risoluzione dei problemi relativi alla creazione di un'identità dell'area di lavoro
Se non è possibile creare un'identità dell'area di lavoro perché il pulsante di creazione è disabilitato, assicurarsi di avere il ruolo di amministratore dell'area di lavoro.
Se si verificano problemi la prima volta che si crea un'identità dell'area di lavoro nel tenant, provare i passaggi seguenti:
Se lo stato dell'identità dell'area di lavoro non è riuscito, attendere un'ora e quindi eliminare l'identità.
Dopo l'eliminazione dell'identità, attendere 5 minuti e quindi creare nuovamente l'identità.
Informazioni su come creare, gestire e concedere le autorizzazioni alle identità dei carichi di lavoro, che consentono ai flussi di lavoro di distribuzione di autenticarsi in modo sicuro in Azure.
Illustrare le funzionalità di Microsoft Entra ID per modernizzare le soluzioni di identità, implementare soluzioni ibride e implementare la governance delle identità.