Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette page explique comment gérer des groupes pour votre compte Azure Databricks et vos espaces de travail.
Pour obtenir une vue d’ensemble des groupes, consultez Groupes.
Note
Cette page suppose que la fédération d’identité de votre espace de travail est activée, qui est la valeur par défaut pour la plupart des espaces de travail. Pour plus d’informations sur les espaces de travail hérités sans fédération d’identité, consultez Espaces de travail hérités sans fédération d’identité.
Synchroniser des groupes vers votre compte Azure Databricks depuis votre instance Microsoft Entra ID
Vous pouvez synchroniser les groupes à partir de votre client Microsoft Entra ID vers votre compte Azure Databricks, automatiquement ou à l’aide d’un connecteur de provisionnement SCIM.
La gestion automatique des identités vous permet d’ajouter des utilisateurs, des principaux de service et des groupes de Microsoft Entra ID dans Azure Databricks sans configurer une application dans l’ID Microsoft Entra. Databricks utilise l’ID Microsoft Entra comme source d’enregistrement. Les modifications apportées aux utilisateurs ou aux appartenances aux groupes sont donc respectées dans Azure Databricks. La gestion automatique des identités prend en charge les groupes imbriqués. La gestion automatique des identités est activée par défaut pour les comptes créés après le 1er août 2025. Pour plus d’informations, consultez Synchroniser automatiquement les utilisateurs et les groupes à partir de l’ID Microsoft Entra.
Le provisionnement SCIM vous permet de configurer une application d’entreprise dans Microsoft Entra ID pour maintenir les utilisateurs et les groupes synchronisés avec Microsoft Entra ID. Le provisionnement SCIM ne prend pas en charge les groupes imbriqués. Pour obtenir des instructions, consultez Synchroniser les utilisateurs et les groupes de Microsoft Entra ID à l’aide de SCIM.
Ajouter des groupes à votre compte
Les administrateurs de compte et les administrateurs d’espace de travail peuvent ajouter des groupes au compte Azure Databricks à l’aide de la console de compte ou de la page des paramètres d’administration de l’espace de travail.
Console de compte
- En tant qu’administrateur de compte, connectez-vous à la console de compte.
- Dans la barre latérale, cliquez sur Gestion des utilisateurs.
- Dans l’onglet Groupes, cliquez sur Ajouter un groupe.
- Donnez un nom au groupe.
- Cliquez sur Confirmer.
- Lorsque vous y êtes invité, ajoutez des utilisateurs, des principaux de service et des groupes au groupe.
Paramètres d’administrateur de l’espace de travail
- En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
- Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.
- Cliquez sur l’onglet Identité et accès .
- En regard de Groupes, cliquez sur Gérer.
- Cliquez sur Ajouter un groupe.
- Cliquez sur Ajouter nouveau.
- Donnez un nom au groupe.
- Cliquez sur Ajouter.
Ajouter des membres à un groupe
Les administrateurs de compte et les administrateurs d’espace de travail peuvent ajouter des groupes au compte Azure Databricks à l’aide de la console de compte ou de la page des paramètres d’administration de l’espace de travail. Les gestionnaires de groupes qui ne sont pas des administrateurs d’espace de travail doivent gérer l’appartenance au groupe à l’aide de l’API Groupes de comptes.
Note
Pour maintenir la synchronisation des groupes externes avec l’ID Microsoft Entra, vous ne pouvez pas gérer l’appartenance à des groupes externes dans la console de compte par défaut. Pour mettre à jour l'appartenance à un groupe externe depuis l'interface utilisateur Azure Databricks, un administrateur de compte peut désactiver Aperçu des Groupes Externes Immuables dans la page d'aperçu de la console du compte. Les groupes externes gérés à l’aide de la gestion automatique des identités ne peuvent pas être mis à jour dans Azure Databricks, même lorsque la préversion des groupes externes immuables est désactivée.
Console de compte
- En tant qu’administrateur de compte, connectez-vous à la console de compte.
- Dans la barre latérale, cliquez sur Gestion des utilisateurs.
- Sous l’onglet Groupes, sélectionnez le groupe que vous souhaitez mettre à jour.
- Cliquez sur Ajouter des membres.
- Recherchez l’utilisateur, le groupe ou le principal de service que vous souhaitez ajouter et sélectionnez-le.
- Cliquez sur Ajouter.
Il y a un délai de quelques minutes entre la mise à jour d’un groupe et la propagation complète de l’appartenance au groupe dans tous les systèmes.
Paramètres d’administrateur de l’espace de travail
Note
Vous ne pouvez pas ajouter un groupe enfant au groupe admins. Vous ne pouvez pas ajouter de groupes d’espace de travail locaux ou de groupes de systèmes en tant que membres de groupes de comptes.
- En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
- Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.
- Cliquez sur l’onglet Identité et accès .
- En regard de Groupes, cliquez sur Gérer.
- Sélectionnez le groupe que vous souhaitez mettre à jour. Vous devez avoir le rôle de responsable de groupe sur le groupe pour le mettre à jour.
- Sous l’onglet Membres, cliquez sur Ajouter des membres.
- Dans la boîte de dialogue, parcourez ou recherchez les utilisateurs, les principaux de service et les groupes que vous souhaitez ajouter et sélectionnez-les.
- Cliquez sur Confirmer.
Modifier le nom d’un groupe
Les administrateurs de compte peuvent mettre à jour le nom des groupes à l’aide de la console de compte et les gestionnaires de groupes peuvent mettre à jour le nom des groupes à l’aide de l’API Groupes de comptes. Pour maintenir la synchronisation des groupes externes avec l’ID Microsoft Entra, vous ne pouvez pas mettre à jour le nom d’un groupe externe dans la console de compte par défaut.
Console de compte
- En tant qu’administrateur de compte, connectez-vous à la console de compte.
- Dans la barre latérale, cliquez sur Gestion des utilisateurs.
- Sous l’onglet Groupes, sélectionnez le groupe que vous souhaitez mettre à jour.
- Cliquez sur Informations de groupe.
- Sous Nom, mettez à jour le nom.
- Cliquez sur Enregistrer.
API Groupes de comptes
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json :
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
{
"op": "replace",
"path": "displayName",
"value": "<updated-name>"
}
}
]
}
Pour plus d’informations sur l’authentification auprès de l’API Groupes de comptes, consultez Autoriser l’accès aux ressources Azure Databricks.
Affecter un groupe à un espace de travail
Les administrateurs de compte et les administrateurs d’espace de travail peuvent affecter des groupes à un espace de travail Azure Databricks à l’aide de la console de compte ou de la page des paramètres d’administration de l’espace de travail.
Console de compte
Les groupes locaux d’espace de travail ne peuvent pas être assignés aux espaces de travail via la console de gestion de compte.
- En tant qu’administrateur de compte, connectez-vous à la console de compte.
- Dans la barre latérale, cliquez sur Espaces de travail.
- Cliquez sur le nom de votre espace de travail.
- Sous l’onglet Permissions (Autorisations), cliquez sur Add permissions (Ajouter des autorisations).
- Recherchez et sélectionnez le groupe, attribuez-lui un niveau d’autorisation (Utilisateur ou Administrateur de l’espace de travail), puis cliquez sur Enregistrer.
Paramètres d’administrateur de l’espace de travail
- En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
- Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.
- Cliquez sur l’onglet Identité et accès .
- En regard de Groupes, cliquez sur Gérer.
- Cliquez sur Ajouter un groupe.
- Sélectionnez un groupe existant à affecter à l’espace de travail.
- Cliquez sur Ajouter.
Supprimer un groupe d’un espace de travail
Lorsqu’un groupe de comptes est supprimé d’un espace de travail, les membres du groupe ne peuvent plus accéder à l’espace de travail, mais les autorisations sont conservées dans le groupe. Si le groupe est à nouveau ajouté à un espace de travail, le groupe récupère ses autorisations précédentes.
Les administrateurs de compte et les administrateurs d’espace de travail peuvent supprimer un groupe d’un espace de travail Azure Databricks à l’aide de la console de compte ou de la page des paramètres d’administration de l’espace de travail.
Console de compte
Les groupes locaux d’espace de travail ne peuvent pas être supprimés des espaces de travail à l’aide de la console de compte.
- En tant qu’administrateur de compte, connectez-vous à la console de compte.
- Dans la barre latérale, cliquez sur Espaces de travail.
- Cliquez sur le nom de votre espace de travail.
- Sous l’onglet Autorisations, recherchez le groupe.
- Cliquez sur
situé à l’extrême droite de la ligne de groupe, puis sélectionnez Supprimer. - Dans la boîte de dialogue de confirmation, cliquez sur Supprimer.
Paramètres d’administrateur de l’espace de travail
Note
Vous ne pouvez pas supprimer des groupes qui sont indirectement affectés à l’espace de travail par le biais de l’appartenance à un autre groupe. Pour supprimer ces groupes, vous devez les supprimer de leur groupe parent ou les supprimer au niveau du compte.
- En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
- Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.
- Cliquez sur l’onglet Identité et accès .
- En regard de Groupes, cliquez sur Gérer.
- Sélectionnez le groupe, puis cliquez sur x Supprimer.
- Cliquez sur Delete (Supprimer) pour confirmer.
Gérer des rôles sur un groupe
Important
Cette fonctionnalité est disponible en préversion publique.
Les administrateurs de compte peuvent accorder des rôles sur des groupes dans la console de compte et l’administrateur de l’espace de travail peut gérer les rôles de groupe à l’aide de la page des paramètres d’administration de l’espace de travail. Les responsables de groupes qui ne sont pas administrateurs d’espace de travail peuvent gérer des rôles de groupe à l’aide de l’API Contrôle d’accès au compte.
Console de compte
- En tant qu’administrateur de compte, connectez-vous à la console de compte.
- Dans la barre latérale, cliquez sur Gestion des utilisateurs.
- Sous l’onglet Groupes, recherchez et cliquez sur le nom du groupe.
- Cliquez sur l’onglet Autorisations .
- Cliquez sur Accorder l’accès.
- Recherchez et sélectionnez l’utilisateur, le principal de service ou le groupe, puis choisissez le rôle Groupe : Responsable.
- Cliquez sur Enregistrer.
Paramètres d’administrateur de l’espace de travail
Vous ne pouvez pas attribuer des rôles de groupes d'espace de travail locaux ou de groupes système à des groupes de comptes.
- En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
- Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.
- Cliquez sur l’onglet Identité et accès .
- En regard de Groupes, cliquez sur Gérer.
- Sélectionnez le groupe que vous souhaitez mettre à jour. Vous devez avoir le rôle de responsable de groupe sur le groupe pour le mettre à jour.
- Cliquez sur l’onglet Autorisations .
- Cliquez sur Accorder l’accès.
- Recherchez et sélectionnez l’utilisateur, le principal de service ou le groupe, puis choisissez le rôle Groupe : Responsable.
- Cliquez sur Enregistrer.
Attribuer des rôles d’administrateur de compte à un groupe
Vous ne pouvez pas affecter les rôles d’administrateur de compte à un groupe à l’aide de la console de compte, mais vous pouvez l’affecter à des groupes à l’aide de l’API Groupes de comptes. Par exemple:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json :
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "add",
"path": "roles",
"value": [
{
"value": "account_admin"
}
]
}
]
}
Pour plus d’informations sur l’authentification auprès de l’API Groupes de comptes, consultez Autoriser l’accès aux ressources Azure Databricks.
Afficher les groupes parents
- En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
- Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.
- Cliquez sur l’onglet Identité et accès.
- En regard de Groupes, cliquez sur Gérer.
- Sélectionnez le groupe que vous souhaitez consulter.
- Sous l’onglet Groupe parents, affichez les groupes parents de votre groupe.
Supprimer des groupes de votre compte Azure Databricks
Les administrateurs de compte peuvent supprimer des groupes d’un compte Azure Databricks. Les gestionnaires de groupes peuvent également supprimer des groupes du compte à l’aide de l’API Groupes de comptes, consultez Gérer les groupes à l’aide de l’API. Si vous supprimez un groupe à l’aide de la console de compte, vous devez également vous assurer que vous supprimez le groupe à l’aide de connecteurs d’approvisionnement SCIM ou d’applications d’API SCIM qui ont été configurés pour le compte. Si vous ne le faites pas, le provisionnement SCIM ajoutera simplement le groupe et ses membres lors de la prochaine synchronisation. Consultez Synchroniser les utilisateurs et les groupes de Microsoft Entra ID à l’aide de SCIM.
Important
Lorsque vous supprimez un groupe, tous les utilisateurs de ce groupe sont supprimés du compte et perdent l’accès aux espaces de travail auxquels ils avaient accès (sauf s’ils sont membres d’un autre groupe ou ont été directement autorisés à accéder au compte ou à tous les espaces de travail). Databricks vous recommande de ne pas supprimer des groupes au niveau du compte, sauf si vous souhaitez qu’ils perdent l’accès à tous les espaces de travail du compte. Prenez en compte les conséquences suivantes de la suppression d’utilisateurs :
- Les applications ou les scripts qui utilisent les jetons générés par l’utilisateur ne peuvent plus accéder aux API Databricks.
- Les travaux appartenant à l’utilisateur échouent.
- Les clusters appartenant à l’utilisateur s’arrêtent.
- Les bibliothèques installées par cet utilisateur ne sont pas valides et doivent être réinstallées.
- Les requêtes ou tableaux de bord créés par l’utilisateur et partagés à l’aide des informations d’identification Exécuter en tant que propriétaire doivent être affectés à un nouveau propriétaire pour empêcher le partage d’échouer.
Pour supprimer un groupe à l’aide de la console de compte, procédez comme suit :
- En tant qu’administrateur de compte, connectez-vous à la console de compte.
- Dans la barre latérale, cliquez sur Gestion des utilisateurs.
- Sous l’onglet Groupes, cherchez le groupe que vous souhaitez supprimer.
- Cliquez sur situé à l’extrême droite de la ligne de l’utilisateur, puis sélectionnez Supprimer.
- Dans la boîte de dialogue de confirmation, cliquez sur Confirmer la suppression.
Note
Lorsque la gestion automatique des identités est activée, les groupes qui se trouvent dans Microsoft Entra ID sont visibles dans la console de compte. Un groupe est affiché comme inactif : aucune utilisation s'il n'a pas été ajouté à un espace de travail. Ces groupes ne peuvent pas être supprimés de la liste des groupes. Ils ne comptent pas par rapport aux limites du groupe.
Gérer des groupes à l’aide de l’API
Les administrateurs de compte, les administrateurs d’espace de travail et les responsables de groupes peuvent ajouter, supprimer et gérer des groupes dans le compte Azure Databricks en tirant parti de l’API Groupes de comptes. Les administrateurs de compte, les administrateurs d’espace de travail et les responsables de groupe doivent appeler l’API à l’aide d’une URL de point de terminaison différente :
- Les administrateurs de compte utilisent
{account-domain}/api/2.1/accounts/{account_id}/scim/v2/. - Les administrateurs d’espace de travail et les responsables de groupe utilisent
{workspace-domain}/api/2.0/account/scim/v2/.
Si vous souhaitez obtenir plus d’informations, consultez API Groupes de comptes.
Les administrateurs de compte et d’espace de travail peuvent utiliser l’API Affectation d’espace de travail pour affecter des groupes à des espaces de travail. L’API d’attribution d’espace de travail est prise en charge via le compte et les espaces de travail Azure Databricks.
- Les administrateurs de compte utilisent
{account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments. - Les administrateurs d’espace de travail utilisent
{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.
Voir API d’affectation d’espace de travail.
Manager les rôles d’un groupe à l’aide de l’API
Important
Cette fonctionnalité est disponible en préversion publique.
Les responsables de groupes peuvent manager les rôles de groupe à l’aide de l’API Contrôle d’accès aux comptes. Les administrateurs de compte, les administrateurs d’espace de travail et les responsables de groupe doivent appeler l’API à l’aide d’une URL de point de terminaison différente :
- Les administrateurs de compte utilisent
{account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles. - Les administrateurs d’espace de travail et les responsables de groupe utilisent
{workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles.
Consultez l’API contrôle d’accès aux comptes et l’API proxy d’espace de travail de contrôle d’accès aux comptes.
Exemples d’API pour la gestion des groupes
Les exemples suivants montrent comment les administrateurs d’espace de travail peuvent utiliser l’API Groupes de comptes et l’API Affectation d’espace de travail pour gérer les groupes. Les administrateurs de l’espace de travail s’authentifient auprès de leur espace de travail à l’aide d’un jeton d’API.
Créer un groupe de comptes
curl --request POST \
--location '{workspace-domain}/api/2.0/account/scim/v2/Groups' \
--header 'Authorization: Bearer $OAUTH_TOKEN' \
--header 'Content-Type: application/json' \
--data '{
"displayName": "<group-name>"
}'
Retourne un ID de groupe pour le nouveau groupe de comptes. Enregistrez-le pour référence dans les exemples d’API suivants.
Ajouter un groupe à votre espace de travail
L’exemple suivant ajoute un groupe à votre espace de travail avec des autorisations utilisateur d’espace de travail. Vous pouvez également définir la valeur permissions ["ADMIN"] pour accorder au groupe le rôle d’administrateur de l’espace de travail.
curl --location --request PUT '{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group-id}' \
--header 'Authorization: Bearer $OAUTH_TOKEN' \
--header 'Content-Type: application/json' \
--data '{
"permissions": ["USER"]
}'
Supprimer un groupe de votre espace de travail
L’exemple suivant supprime un groupe de votre espace de travail. La suppression d’un groupe de votre espace de travail ne supprime pas le groupe du compte.
Note
Vous ne pouvez pas supprimer des groupes qui sont indirectement affectés à l’espace de travail par le biais de l’appartenance à un autre groupe. Pour supprimer ces groupes, vous devez les supprimer de leur groupe parent ou les supprimer au niveau du compte.
curl --location --request PUT '{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group-id}' \
--header 'Authorization: Bearer $OAUTH_TOKEN' \
--header 'Content-Type: application/json' \
--data '{
"permissions": []
}'
Ajouter un membre à un groupe
curl --location --request PATCH '{workspace-domain}/api/2.0/account/scim/v2/Groups/{group-id}' \
--header 'Authorization: Bearer $OAUTH_TOKEN' \
--header 'Content-Type: application/json' \
--data '{
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:PatchOp"
],
"Operations": [
{
"op": "add",
"value": {
"members": [
{
"value": "{user-id}"
}
]
}
}
]
}'