共用方式為

工作區身分識別

  • 發行項

網狀架構工作區身分識別是可以與 Fabric 工作區相關聯的自動受控服務主體。 具有工作區身分識別的網狀架構工作區可以透過 OneLake 快捷方式的受信任工作區存取,安全地讀取或寫入已啟用防火牆的 Azure Data Lake 儲存體 Gen2 帳戶。 未來,網狀架構專案在聯機到支援 Microsoft Entra 驗證的資源時,將能夠使用身分識別。 Fabric 會使用工作區身分識別來取得 Microsoft Entra 令牌,而不需要客戶管理任何認證。

工作區身分識別可以在與 Fabric 容量相關聯的工作區設定中建立。 工作區身分識別會自動獲指派工作區參與者角色,並可存取工作區專案。

當您建立工作區身分識別時,Fabric 會在 Microsoft Entra ID 中建立服務主體來代表身分識別。 也會建立隨附的應用程式註冊。 網狀架構會自動管理與工作區身分識別相關聯的認證,藉此防止認證洩漏和因認證處理不當而停機。

注意

網狀架構工作區身分識別目前為公開預覽狀態。 您只能在 F64 或更高容量中建立工作區身分識別。 如需購買 Fabric 訂閱的相關信息,請參閱 購買 Microsoft Fabric 訂閱

雖然 Fabric 工作區身分識別與 Azure 受控識別共用一些相似之處,但其生命週期、管理和治理不同。 工作區身分識別具有完全在 Fabric 中管理的獨立生命週期。 網狀架構工作區可以選擇性地與身分識別產生關聯。 刪除工作區時,會刪除身分識別。 工作區身分識別的名稱一律與它相關聯的工作區名稱相同。

建立和管理工作區身分識別

您必須是工作區管理員,才能建立和管理工作區身分識別。 您要建立身分識別的工作區必須與 Fabric F64 容量或更高容量相關聯。

  1. 流覽至工作區並開啟工作區設定。
  2. 選取 [ 工作區身分識別] 索引標籤
  3. 選取 [ + 工作區身分識別] 按鈕。

建立工作區身分識別之後,索引標籤會顯示工作區身分識別詳細數據、授權使用者清單,並可讓您將身分識別與客戶提供的端點和自定義程式碼搭配使用。

Screenshot showing workspace identity details.

工作區身分識別組態的各節會說明下列各節。

身分識別詳細數據

詳細資料 描述
名稱 工作區身分識別名稱。 工作區身分識別名稱與工作區名稱相同。
識別碼 工作區身分識別 GUID。 這是身分識別的唯一標識碼。
Role 指派給身分識別的工作區角色。 工作區身分識別會在建立時自動指派參與者角色。
州 (縣/市) 工作區的狀態。 可能的值:Active、Inactive、Delete、Deleteable、FailedDeleteFailed

授權的使用者

如需詳細資訊,請參閱 訪問控制

刪除工作區身分識別

刪除身分識別時,依賴工作區身分識別進行受信任工作區存取或驗證的網狀架構專案將會中斷。 無法還原已刪除的工作區身分識別。

注意

刪除工作區時,也會刪除工作區身分識別。 其工作區身分識別也會一併刪除。 如果刪除後還原工作區,則不會還原工作區身分識別。 如果您想要還原的工作區具有工作區身分識別,您必須建立新的工作區。

如何使用工作區身分識別

工作區中具有工作區身分識別的快捷方式可用於受信任的服務存取。 如需詳細資訊,請參閱 受信任的工作區存取

工作區身分識別的安全性、管理和治理

下列各節說明誰可以使用工作區身分識別,以及如何在 Microsoft Purview 和 Azure 中監視它。

存取控制

工作區身分識別可由 工作區系統管理員建立和刪除。 工作區身分識別在工作區上具有工作區參與者角色。

目前不支援工作區身分識別來驗證以連線中的資源為目標。 未來將支援對連線中目標資源的驗證。 管理員、成員和參與者未來將能夠在連線的驗證中使用工作區身分識別。

未來,工作區系統管理員將能夠在自定義程式碼中的連線中使用工作區身分識別,例如Spark筆記本和數據管線中搭配客戶提供的端點。 範例包括具有 Web 活動的數據管線,以及 Webhook 活動。

應用程式 管理員 使用者或具有較高角色的使用者,可以檢視、修改和刪除與 Azure 中工作區身分識別相關聯的服務主體和應用程式註冊。

警告

不建議在 Azure 中修改或刪除服務主體或應用程式註冊,因為這會導致依賴工作區身分識別的網狀架構專案停止運作。

管理員 在 Purview 中註冊工作區身分識別

您可以在 Purview 稽核記錄中檢視建立和刪除工作區身分識別時所產生的稽核事件。 存取記錄檔

  1. 流覽至 Microsoft Purview 中
  2. 選取 [ 稽核 ] 圖格。
  3. 在顯示的稽核搜尋表單中,使用 [ 活動 - 易記名稱 ] 字段來搜尋 網狀架構身 分識別,以尋找與工作區身分識別相關的活動。 目前,與工作區身分識別相關的下列活動如下:
    • 建立工作區的網狀架構身分識別
    • 已擷取工作區的網狀架構身分識別
    • 已刪除工作區的網狀架構身分識別
    • 已擷取工作區的網狀架構識別令牌

管理員 在 Azure 中註冊工作區身分識別

與工作區身分識別相關聯的應用程式可以在 Azure 入口網站的 Enterprise 應用程式和 應用程式註冊檢視。

企業應用程式

您可以在 Azure 入口網站 的企業應用程式中看到與工作區身分識別相關聯的應用程式。 網狀架構身分識別管理應用程式是其設定擁有者。

警告

此處對應用程式所做的修改會導致工作區身分識別停止運作。

若要檢視此身分識別的稽核記錄和登入記錄:

  1. 登入 Azure 入口網站。
  2. 流覽至 Microsoft Entra ID > Enterprise Applications
  3. 視需要選取 [ 稽核記錄 ] 或 [登入記錄]。

應用程式註冊

與工作區身分識別相關聯的應用程式可以在 Azure 入口網站 的 [應用程式註冊] 下看到。 不應該在那裡進行任何修改,因為這樣會導致工作區身分識別停止運作。

進階案例

下列各節說明可能發生之工作區身分識別的案例。

刪除身分識別

您可以在工作區設定中刪除工作區身分識別。 刪除身分識別時,依賴工作區身分識別進行受信任工作區存取或驗證的網狀架構專案將會中斷。 無法還原已刪除的工作區身分識別。

刪除工作區時,也會刪除其工作區身分識別。 如果刪除後還原工作區,則不會還原工作區身分識別。 如果您想要還原的工作區具有工作區身分識別,您必須建立新的工作區。

重新命名工作區

當工作區重新命名時,工作區身分識別也會重新命名為符合工作區名稱。 不過,其 Entra 應用程式和服務主體會維持不變。 請注意,租使用者中可以有多個應用程式與應用程式註冊物件具有相同名稱。

考量與限制

  • 工作區身分識別只能在與 Fabric F64+ 容量相關聯的工作區中建立。 如需購買 Fabric 訂閱的相關信息,請參閱 購買 Microsoft Fabric 訂閱
  • 如果具有工作區身分識別的工作區已移轉至非 Fabric 或低於 F64 的容量,則不會停用或刪除身分識別,但依賴工作區身分識別的網狀架構專案將會停止運作。
  • 最多可以在租使用者中建立 1,000 個工作區身分識別。 達到此限制之後,必須刪除工作區身分識別,才能建立較新的工作區身分識別。
  • 具有工作區身分識別的工作區中的 Azure Data Lake 儲存體 Gen2 快捷方式將能夠信任的服務存取。

針對建立工作區身分識別的問題進行疑難解答

  • 如果您因為建立按鈕已停用而無法建立工作區身分識別,請確定您具有工作區系統管理員角色,且工作區與網狀架構 F64+ 容量相關聯。

  • 如果您在租使用者中第一次建立工作區身分識別時遇到問題,請嘗試下列步驟:

    1. 如果工作區身分識別狀態 失敗,請等候一小時,然後刪除身分識別。
    2. 刪除身分識別之後,請等候 5 分鐘,然後再次建立身分識別。

相關內容