Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Auf dieser Seite wird beschrieben, wie Azure Databricks Benutzer, Dienstprinzipale und Gruppen von Microsoft Entra ID mithilfe der automatischen Identitätsverwaltung automatisch synchronisiert.
Übersicht über die automatische Identitätsverwaltung
Mit der automatischen Identitätsverwaltung können Sie Benutzer, Dienstprinzipale und Gruppen von Microsoft Entra ID nahtlos zu Azure Databricks hinzufügen, ohne eine Anwendung in Microsoft Entra ID zu konfigurieren. Wenn die automatische Identitätsverwaltung aktiviert ist, können Sie direkt in Identitätsverbundarbeitsbereichen nach Microsoft Entra-ID-Benutzern, Dienstprinzipalen und Gruppen suchen und sie zu Ihrem Arbeitsbereich hinzufügen. Databricks verwendet Microsoft Entra-ID als Datensatzquelle, sodass alle Änderungen an Gruppenmitgliedschaften in Azure Databricks berücksichtigt werden.
Just-in-Time(JIT)-Bereitstellung ist immer aktiviert, wenn die automatische Identitätsverwaltung aktiviert ist und Sie sie nicht deaktivieren können. Neue Benutzer von Microsoft Entra ID werden bei der ersten Anmeldung automatisch in Azure Databricks bereitgestellt. Siehe Automatische Bereitstellung von Benutzern (JIT)
Benutzer können Dashboards auch für jeden Benutzer, Dienstprinzipal oder jede Gruppe in der Microsoft Entra-ID freigeben. Beim Freigeben werden diese Benutzer, Dienstprinzipale und Gruppenmitglieder bei der Anmeldung automatisch dem Azure Databricks-Konto hinzugefügt. Sie werden nicht als Mitglieder zum Arbeitsbereich hinzugefügt, in dem sich das Dashboard befindet. Mitglieder der Microsoft Entra-ID, die keinen Zugriff auf den Arbeitsbereich haben, erhalten Zugriff auf eine schreibgeschützte Kopie eines Dashboards, das mit Berechtigungen zum Teilen von Daten veröffentlicht wurde. Weitere Informationen zur Dashboardfreigabe finden Sie unter Freigeben eines Dashboards.
Die automatische Identitätsverwaltung wird in Nicht-Identitätsverbundarbeitsbereichen nicht unterstützt. Weitere Informationen zum Identitätsverbund finden Sie unter "Identitätsverbund".
Benutzer- und Gruppenstatus
Wenn die automatische Identitätsverwaltung aktiviert ist, werden Benutzer, Dienstprinzipale und Gruppen aus der Microsoft Entra-ID in der Kontokonsole und auf der Seite "Arbeitsbereichsadministratoreinstellungen" angezeigt. Ihr Status spiegelt ihre Aktivität und ihren Status zwischen Microsoft Entra ID und Azure Databricks wider:
| Der Status | Bedeutung |
|---|---|
| Inaktiv: Keine Verwendung | Für Benutzer und Dienstprinzipale: Identität in Microsoft Entra-ID, die sich noch nicht bei Azure Databricks angemeldet hat. Für Gruppen: Die Gruppe wurde keinem Arbeitsbereich hinzugefügt. |
| Aktiv | Die Identität ist in Azure Databricks aktiv. |
| Aktiv: Aus EntraID entfernt | Zuvor in Azure Databricks aktiv und wurde aus der Microsoft Entra-ID entfernt. Die Anmeldung oder Authentifizierung bei APIs ist nicht möglich. |
| Deaktiviert | Die Identität wurde in Microsoft Entra ID deaktiviert. Die Anmeldung oder Authentifizierung bei APIs ist nicht möglich. |
Tipp
Als bewährte Sicherheitspraktik empfiehlt Databricks, persönliche Zugriffstoken für deaktivierte und aus EntraID entfernte aktive Benutzer zu widerrufen.
Identitäten, die mithilfe der automatischen Identitätsverwaltung verwaltet werden, werden in Azure Databricks als extern angezeigt. Externe Identitäten können nicht mithilfe der Azure Databricks-Benutzeroberfläche aktualisiert werden.
Automatische Identitätsverwaltung im Vergleich zur SCIM-Bereitstellung
Wenn die automatische Identitätsverwaltung aktiviert ist, werden alle Benutzer, Gruppen und Gruppenmitgliedschaften von Microsoft Entra ID mit Azure Databricks synchronisiert, sodass die SCIM-Bereitstellung nicht erforderlich ist. Wenn die SCIM-Unternehmensanwendung parallel ausgeführt wird, verwaltet die SCIM-Anwendung weiterhin Benutzer und Gruppen, die in der Microsoft Entra ID-Unternehmensanwendung konfiguriert sind. Es verwaltet keine Microsoft Entra-ID-Identitäten, die nicht mithilfe der SCIM-Bereitstellung hinzugefügt wurden.
Databricks empfiehlt die Verwendung der automatischen Identitätsverwaltung. In der folgenden Tabelle werden die Features der automatischen Identitätsverwaltung mit den Features der SCIM-Bereitstellung verglichen.
| Funktionen | Automatische Identitätsverwaltung | SCIM-Bereitstellung |
|---|---|---|
| Synchronisieren von Benutzern | ✓ | ✓ |
| Synchronisieren von Gruppen | ✓ | ✓ (Nur direkte Mitglieder) |
| Verschachtelte Gruppen synchronisieren | ✓ | |
| Synchronisieren von Dienstprinzipalen | ✓ | |
| Konfigurieren und Verwalten der Microsoft Entra ID-Anwendung | ✓ | |
| Erfordert Microsoft Entra ID Premium Edition | ✓ | |
| Erfordert die Rolle "Microsoft Entra ID-Cloudanwendungsadministrator" | ✓ | |
| Erfordert einen Identitätsverbund | ✓ |
Externe Azure Databricks ID und Microsoft Entra ID-Objekt-ID
Azure Databricks verwendet die Microsoft Entra-ID ObjectId als maßgeblichen Link zum Synchronisieren von Identitäten und Gruppenmitgliedschaften und aktualisiert das Feld automatisch, sodass es externalId dem ObjectId in einem täglich wiederkehrenden Ablauf entspricht. In einigen Fällen können weiterhin Inkonsistenzen oder doppelte Identitäten auftreten, insbesondere wenn eine benutzende Person, ein Dienstprinzipal oder eine Gruppe sowohl über die automatische Identitätsverwaltung als auch über eine andere Methode, z. B. SCIM-Bereitstellung, zu Azure Databricks hinzugefügt wird. In diesen Situationen werden möglicherweise doppelte Einträge mit einem Eintrag mit dem Status "Inaktiv" angezeigt: keine Verwendung. Der Benutzer ist nicht inaktiv und kann sich in Azure Databricks anmelden.
Sie können diese doppelten Identitäten zusammenführen, indem Sie ihre externe ID in Azure Databricks angeben. Verwenden Sie die APIs für Kontobenutzende, Kontodienstprinzipale oder Kontogruppen, um den Prinzipal zu aktualisieren und die Microsoft Entra ID-objectId im Feld externalId hinzuzufügen.
Azure Databricks empfiehlt dringend, keine benutzerdefinierten Workflows zu verwenden, die vom externalId-Feld abhängen, da sich externalId im Laufe der Zeit aktualisieren kann.
Funktionsweise der Gruppenmitgliedschaftssynchronisierung
Wenn die automatische Identitätsverwaltung aktiviert ist, aktualisiert Azure Databricks Benutzergruppenmitgliedschaften von Microsoft Entra-ID während Aktivitäten, die Authentifizierungs- und Autorisierungsprüfungen auslösen, z. B. Browseranmeldungen, Tokenauthentifizierung oder Auftragsausführung. Dadurch wird sichergestellt, dass gruppenbasierte Berechtigungen in Azure Databricks mit Änderungen synchronisiert bleiben, die in der Microsoft Entra-ID vorgenommen wurden.
Wenn Azure Databricks Gruppenmitgliedschaften aktualisiert, ruft sie transitive (geschachtelte) Gruppenmitgliedschaften aus der Microsoft Entra-ID ab. Dies bedeutet, dass Azure Databricks, wenn ein Benutzer Mitglied von Group A ist und Gruppe A Mitglied von Group B ist, den Benutzer als Mitglied in beiden Gruppen erkennt. Azure Databricks ruft nur Mitgliedschaften für Gruppen ab, die Azure Databricks hinzugefügt wurden. Es synchronisiert oder rekonstruiert nicht die vollständige übergeordnete Gruppenhierarchie aus dem Microsoft Entra ID.
Azure Databricks aktualisiert Gruppenmitgliedschaften in verschiedenen Zeitplänen je nach Aktivität:
- Browseranmeldungen: Gruppenmitgliedschaften werden synchronisiert, wenn seit der letzten Synchronisierung mehr als 5 Minuten vergangen sind
- Andere Aktivitäten (z. B. Tokenauthentifizierung oder Ausführen von Aufträgen): Gruppenmitgliedschaften werden synchronisiert, wenn seit der letzten Synchronisierung mehr als 40 Minuten vergangen sind
Aktivieren der automatischen Identitätsverwaltung
Die automatische Identitätsverwaltung ist standardmäßig für Konten aktiviert, die nach dem 1. August 2025 erstellt wurden. Kontoadministratoren können die automatische Identitätsverwaltung in der Kontokonsole aktivieren.
Melden Sie sich als Kontoadministrator bei der Kontokonsole an.
Klicken Sie in der Randleiste auf "Sicherheit".
Schalten Sie auf der Registerkarte "Benutzerbereitstellung" die Option "Automatische Identitätsverwaltung" auf "Aktiviert" um.
Änderungen dauern fünf bis zehn Minuten, bis sie wirksam werden.
Nachdem Ihr Konto aktiviert ist, führen Sie die folgenden Anweisungen aus, um Benutzer, Dienstprinzipale und Gruppen aus der Microsoft Entra-ID hinzuzufügen und zu entfernen:
- Hinzufügen von Benutzern zu Ihrem Konto
- Hinzufügen von Dienstprinzipalen zu Ihrem Konto
- Hinzufügen von Gruppen zu Ihrem Konto
Deaktivieren der automatischen Identitätsverwaltung
Wenn die automatische Identitätsverwaltung deaktiviert ist:
- Benutzer und Dienstprinzipale bleiben erhalten: Sie behalten den Zugriff, werden aber nicht mehr mit Microsoft Entra ID synchronisiert. Sie können Benutzer und Dienstprinzipale manuell in der Kontokonsole entfernen oder deaktivieren, nachdem Sie die automatische Identitätsverwaltung deaktiviert haben.
- Gruppen verlieren die Mitgliedschaft: Gruppen verbleiben in Azure Databricks, aber alle Gruppenmitglieder werden entfernt.
- Keine Synchronisierung mit Microsoft Entra ID: Änderungen bei Microsoft Entra ID (z. B. das Entfernen von Benutzern oder Aktualisierungen von Gruppen) werden in Azure Databricks nicht widergespiegelt.
- Keine Berechtigungsvererbung: Benutzer, die von der automatischen Identitätsverwaltung verwaltet werden, können keine Berechtigungen von übergeordneten Gruppen erben. Dies wirkt sich auf geschachtelte gruppenbasierte Berechtigungsmodelle aus.
Wenn Sie beabsichtigen, die automatische Identitätsverwaltung zu deaktivieren, empfiehlt Databricks, die SCIM-Bereitstellung im Voraus als Fallback einzurichten. SCIM kann dann die Identitäts- und Gruppensynchronisierung übernehmen.
- Melden Sie sich als Kontoadministrator bei der Kontokonsole an.
- Klicken Sie in der Randleiste auf "Sicherheit".
- Schalten Sie auf der Registerkarte "Benutzerbereitstellung" die Option "Automatische Identitätsverwaltung" auf "Deaktiviert" um.
Überwachen von Benutzeranmeldungen
Sie können die system.access.audit Tabelle abfragen, um zu überwachen, welche Benutzer sich beim Arbeitsbereich angemeldet haben. Zum Beispiel:
SELECT
DISTINCT user_identity.email
FROM
system.access.audit
WHERE
action_name = "aadBrowserLogin"
Weitere Informationen zur Tabelle system.access.audit finden Sie im Tabellenverweis zum Überwachungsprotokollsystem.