共用方式為


工作區身分識別

Fabric 工作區身分識別是可與 Fabric 工作區相關聯的自動受控服務主體。 具有工作區身分識別的 Fabric 工作區可透過 OneLake 捷徑的受信任工作區存取,安全地讀取或寫入已啟用防火牆的 Azure Data Lake Storage Gen2 帳戶。 網狀架構專案可以在連線到支援Microsoft Entra 驗證的資源時使用身分識別。 網狀架構會使用工作區身分識別來取得Microsoft Entra 令牌,而不需要客戶管理任何認證。

工作區身分識別可以在 [我的工作區] 以外的任何工作區設定中建立。 工作區身分識別會自動獲指派工作區參與者角色,並可存取工作區項目。

當您建立工作區身分識別時,Fabric 會在 Microsoft Entra ID 中建立服務主體來代表身分識別。 還會建立隨附的應用程式註冊。 Fabric 會自動管理與工作區身分識別相關聯的認證,藉此防止因認證處理不當而造成認證洩漏和停機。

注意

Fabric 工作區身分識別已正式發行。 您可以在 [我的工作區] 以外的任何工作區中建立工作區身分識別。

雖然 Fabric 工作區身分識別與 Azure 受控識別共用一些相似性,但其生命週期、管理和治理有所不同。 工作區身分識別擁有完全在 Fabric 中管理的獨立生命週期。 Fabric 工作區可以有選擇性地與身分識別產生關聯。 刪除工作區時,會刪除身分識別。 工作區身分識別的名稱始終與其關聯的工作區名稱相同。

建立及管理工作區身分識別

您必須成為工作區管理員,才能建立和管理工作區身分識別。 您要建立身分識別的工作區不能是 [我的工作區]

  1. 瀏覽至工作區並開啟工作區設定。
  2. 選取 [工作區身分識別] 索引標籤。
  3. 選取 [+ 工作區身分識別] 按鈕。

建立工作區身分識別後,索引標籤會顯示工作區身分識別詳細資料和授權使用者清單。

顯示工作區身分識別詳細資料的螢幕擷取畫面。

下列各節說明工作區身分識別設定的部分。

身分識別詳細資料

詳細資料 描述
名稱 工作區身分識別名稱。 工作區身分識別的名稱與工作區的名稱相同。
識別碼 工作區身分識別 GUID。 這是身分識別的唯一識別碼。
Role 指派給身分識別的工作區角色。 工作區身分識別會在建立時自動指派參與者角色。
狀態 工作區的狀態。 可能的值:作用中閒置中刪除中無法使用失敗刪除失敗

授權使用者

如需詳細資訊,請參閱存取控制

刪除工作區身分識別

刪除身分識別時,依賴工作區身分識別進行受信任工作區存取或驗證的 Fabric 項目將會中斷。 無法還原已刪除的工作區身分識別。

注意

刪除工作區時,也會刪除其工作區身分識別。 如果在刪除後還原工作區,則不會還原工作區身分識別。 如果您想要還原的工作區具有工作區身分識別,則必須建立新的工作區。

如何使用工作區身分識別

工作區身分識別目前可以使用兩種方式:

工作區身分識別的安全性、管理和治理

下列各節說明了誰可以使用工作區身分識別,以及如何在 Microsoft Purview 和 Azure 中進行監視。

存取控制

工作區身分識別可由工作區系統管理員建立和刪除。 工作區身分識別具有工作區上的工作區參與者角色。

支援工作區身分識別,以驗證以連線中的資源為目標。 只有工作區中具有系統管理員、成員或參與者角色的使用者,才能在聯機中設定工作區身分識別以進行驗證。

具有較高角色的應用程式系統管理員或使用者可以檢視、修改和刪除與 Azure 中工作區身分識別相關聯的服務主體和應用程式註冊。

警告

不建議在 Azure 中修改或刪除服務主體或應用程式註冊,因為這會導致依賴工作區身分識別的 Fabric 項目停止運作。

在 Fabric 中管理工作區身分識別

Fabric 系統管理員可以在管理入口網站的 [Fabric 身分識別] 索引標籤上 管理在其租用戶中建立的工作區身分識別。

  1. 瀏覽至管理入口網站中的 [Fabric 身分識別] 索引標籤。
  2. 選取工作區身分識別,然後選取 [詳細資料]
  3. 在 [詳細資料] 索引標籤中,您可以檢視與工作區身分識別相關的其他資訊。
  4. 您也可以刪除工作區身分識別。

    注意

    刪除之後無法還原工作區身分識別。 請務必檢閱刪除工作區身分識別的後果,如刪除工作區身分識別中所述。

在 Purview 中管理工作區身分識別

您可以在 Purview 稽核記錄中檢視在建立和刪除工作區身分識別時所產生的稽核事件。 若要存取記錄

  1. 瀏覽至 Microsoft Purview 中樞
  2. 選取 [稽核] 磚。
  3. 在顯示的稽核搜尋表單中,使用 [活動 - 自訂名稱] 字段來搜尋 [Fabric 身分識別],以尋找與工作區身分識別相關的活動。 目前,與工作區身分識別相關的下列活動有:
    • 建立的工作區 Fabric 身分識別
    • 擷取的工作區 Fabric 身分識別
    • 刪除的工作區 Fabric 身分識別
    • 擷取的工作區 Fabric 身分識別權杖

在 Azure 中管理工作區身分識別

與工作區身分識別相關聯的應用程式可以在 Azure 入口網站的 [企業應用程式和應用程式註冊]下檢視。

企業應用程式

您可以在 Azure 入口網站的 [企業應用程式] 看到與工作區身分識別相關聯的應用程式。 Fabric 身分識別管理應用程式是其設定擁有者。

警告

在此對應用程式所做的修改會導致工作區身分識別停止運作。

要檢視此身分識別的稽核記錄和登入記錄:

  1. 登入 Azure 入口網站。
  2. 瀏覽至 [Microsoft Entra ID > 企業應用程式]
  3. 視需要選取 [稽核記錄] 或 [登入記錄]

應用程式註冊

與工作區身分識別相關聯的應用程式可以在 Azure 入口網站的 [應用程式註冊] 下查看。 不應在那裡進行任何修改,因為這樣會導致工作區身分識別停止運作。

進階案例

下列各節說明了可能發生工作區身分識別的案例。

刪除身分識別

您可以在工作區設定中刪除工作區身分識別。 刪除身分識別時,依賴工作區身分識別進行受信任工作區存取或驗證的 Fabric 項目將會中斷。 無法還原已刪除的工作區身分識別。

刪除工作區時,也會刪除其工作區身分識別。 如果在刪除後還原工作區,則不會還原工作區身分識別。 如果您想要還原的工作區具有工作區身分識別,則必須建立新的工作區。

重新命名工作區

當工作區重新命名時,也會重新命名工作區身分識別,以符合工作區名稱。 不過,其Microsoft Entra 應用程式和服務主體保持不變。 請注意,租用戶中可以有多個應用程式與應用程式註冊物件具有相同名稱。

考量與限制

  • 工作區身分識別可以在 [我的工作區] 以外的任何工作區中建立。
  • 如果具有工作區身分識別的工作區已移轉至非 Fabric 容量或非 F SKU Fabric 容量,則不會停用或刪除身分識別,但依賴受信任工作區存取的網狀架構專案將會停止運作。
  • 最多可以在租用戶中建立 1,000 個工作區身分識別。 達到此限制之後,必須刪除工作區身分識別,以便能建立較新的工作區身分識別。
  • 具有工作區身分識別的工作區中的 Azure Data Lake Storage Gen2 捷徑將能夠進行受信任服務存取。

針對建立工作區身分識別的問題進行疑難排解

  • 如果您因為建立按鈕已停用而無法建立工作區身分識別,請確定您具有工作區系統管理員角色。

  • 如果您在租用戶中第一次建立工作區身分識別時遇到問題,請嘗試下列步驟:

    1. 如果工作區身分識別狀態失敗,請等候一小時,然後刪除身分識別。
    2. 刪除身分識別之後,請先等候 5 分鐘,然後再次建立身分識別。