このページでは、Azure Databricks が自動 ID 管理を使用して Microsoft Entra ID のユーザー、サービス プリンシパル、およびグループを自動的に同期する方法について説明します。
自動 ID 管理の概要
自動 ID 管理を使用すると、Microsoft Entra ID でアプリケーションを構成することなく、Microsoft Entra ID のユーザー、サービス プリンシパル、グループを Azure Databricks にシームレスに追加できます。 自動 ID 管理が有効になっている場合は、Microsoft Entra ID ユーザー、サービス プリンシパル、およびグループを ID フェデレーション ワークスペースで直接検索し、ワークスペースに追加できます。 Databricks はレコードのソースとして Microsoft Entra ID を使用するため、グループ メンバーシップに対する変更はすべて Azure Databricks で適用されます。
Just-In-Time (JIT) プロビジョニングは、自動 ID 管理が有効になっているときに常に有効になり、オフにすることはできません。 Microsoft Entra ID の新しいユーザーは、最初のログイン時に Azure Databricks に自動的にプロビジョニングされます。 「 ユーザーの自動プロビジョニング (JIT)」を参照してください。
ワークスペース
Add MS Entra ID group from workspaceから MS Entra ID グループを追加
ユーザーは、Microsoft Entra ID の任意のユーザー、サービス プリンシパル、またはグループとダッシュボードを共有することもできます。 共有されると、それらのユーザー、サービス プリンシパル、およびグループのメンバーは、ログイン時に Azure Databricks アカウントに自動的に追加されます。 これらは、ダッシュボードが存在するワークスペースにメンバーとして追加されません。 ワークスペースにアクセスできない Microsoft Entra ID のメンバーには、共有データアクセス許可で公開されたダッシュボードの表示専用コピーへのアクセス権が付与されます。 ダッシュボード共有の詳細については、「 ダッシュボードの共有」を参照してください。
ID 以外のフェデレーション ワークスペースでは、自動 ID 管理はサポートされていません。 ID フェデレーションの詳細については、「ID フェデレーション」 を参照してください。
ユーザーとグループの状態
自動 ID 管理を有効にすると、Microsoft Entra ID のユーザー、サービス プリンシパル、およびグループが、アカウント コンソールとワークスペース管理者設定ページに表示されます。 その状態は、Microsoft Entra ID と Azure Databricks 間のアクティビティと状態を反映しています。
| ステータス | 意味 |
|---|---|
| 非アクティブ: 使用なし | ユーザーとサービス プリンシパルの場合: Azure Databricks にまだログインしていない Microsoft Entra ID の ID。 グループの場合: グループはワークスペースに追加されていません。 |
| アクティブです | ID は Azure Databricks でアクティブです。 |
| アクティブ: Entra ID から削除済み | 以前は Azure Databricks でアクティブでしたが、Microsoft Entra ID から削除されています。 API にログインまたは認証できません。 |
| 非アクティブ | ID が Microsoft Entra ID で非アクティブにされました。 API にログインまたは認証できません。 |
ヒント
セキュリティのベスト プラクティスとして、Databricks では 、非アクティブ化 および アクティブ: EntraID ユーザーから削除 された個人用アクセス トークンを取り消することをお勧めします。
自動 ID 管理を使用して管理される ID は、Azure Databricks では 外部 として表示されます。 Azure Databricks UI を使用して外部 ID を更新することはできません。
自動 ID 管理と SCIM プロビジョニング
自動 ID 管理を有効にすると、すべてのユーザー、グループ、およびグループ メンバーシップが Microsoft Entra ID から Azure Databricks に同期されるため、SCIM プロビジョニングは必要ありません。 SCIM エンタープライズ アプリケーションを並列で実行し続ける場合、SCIM アプリケーションは Microsoft Entra ID エンタープライズ アプリケーションで構成されたユーザーとグループを引き続き管理します。 SCIM プロビジョニングを使用して追加されなかった Microsoft Entra ID ID は管理されません。
Databricks では、自動 ID 管理を使用することをお勧めします。 次の表は、自動 ID 管理の機能と SCIM プロビジョニングの機能を比較しています。
| 特徴 | ID の自動管理 | SCIM プロビジョニング |
|---|---|---|
| ユーザーの同期 | ✓ | ✓ |
| 同期グループ | ✓ | ✓ (直接メンバーのみ) |
| 入れ子になったグループを同期する | ✓ | |
| サービス プリンシパルを同期する | ✓ | |
| Microsoft Entra ID アプリケーションの構成と管理 | ✓ | |
| Microsoft Entra ID Premium エディションが必要です | ✓ | |
| Microsoft Entra ID クラウド アプリケーション管理者ロールが必要です | ✓ | |
| ID フェデレーションが必要 | ✓ |
Azure Databricks の外部 ID と Microsoft Entra ID オブジェクト ID
Azure Databricks は、ID とグループ メンバーシップを同期するための権限のあるリンクとして Microsoft Entra ID ObjectIdを使用し、毎日の定期的なフローのexternalIdに合わせてObjectId フィールドを自動的に更新します。 場合によっては、ユーザー、サービス プリンシパル、またはグループが自動 ID 管理と SCIM プロビジョニングなどの別の方法の両方を使用して Azure Databricks に追加された場合は特に、ID の不一致や重複が引き続き発生することがあります。 このような状況では、エントリが重複し、1 つの一覧に [ 非アクティブ] という状態が表示される場合があります。使用状況はありません。 ユーザーは非アクティブではなく、Azure Databricks にログインできます。
これらの重複する ID は、Azure Databricks で外部 ID を指定することでマージできます。
アカウント ユーザー、アカウント サービス プリンシパル、またはアカウント グループ API を使用してプリンシパルを更新し、objectId フィールドに Microsoft Entra ID externalIdを追加します。
externalIdは時間の経過と同時に更新される可能性があるため、Azure Databricks では、externalId フィールドに依存するカスタム ワークフローを使用しないことを強くお勧めします。
グループ メンバーシップの同期のしくみ
ID の自動管理が有効になっている場合、Azure Databricks は、認証と承認のチェック (ブラウザー ログイン、トークン認証、ジョブの実行など) をトリガーするアクティビティ中に、Microsoft Entra ID からユーザー グループ メンバーシップを更新します。 これにより、Azure Databricks のグループベースのアクセス許可は、Microsoft Entra ID で行われた変更と同期されます。
Azure Databricks はグループ メンバーシップを更新するときに、Microsoft Entra ID から遷移的な(入れ子になった)グループ メンバーシップを取得します。 つまり、ユーザーがグループ A のメンバーであり、グループ A がグループ B のメンバーである場合、Azure Databricks はそのユーザーを両方のグループのメンバーシップを持つものとして認識します。 Azure Databricks では、Azure Databricks に追加されたグループのメンバーシップのみがフェッチされます。 Microsoft Entra ID から完全な親グループ階層を同期または再構築することはありません。
Azure Databricks は、アクティビティに応じてさまざまなスケジュールでグループ メンバーシップを更新します。
- ブラウザー ログイン: 前回の同期から 5 分を超えた場合にグループ メンバーシップが同期される
- その他のアクティビティ (トークン認証、実行中のジョブなど): グループ メンバーシップは、前回の同期から 40 分を超えた場合に同期されます
ID の自動管理を有効にする
自動 ID 管理は、2025 年 8 月 1 日以降に作成されたアカウントに対して既定で有効になっています。 アカウント管理者は、アカウント コンソールで自動 ID 管理を有効にすることができます。
アカウント管理者として、アカウント コンソールにログインします。
サイドバーで[ セキュリティ]をクリックします。
[ ユーザー プロビジョニング ] タブで、[ 自動 ID 管理 ] を [有効] に切り替えます。
変更が有効になるまでに 5 ~ 10 分かかります。
アカウントを有効にした後、Microsoft Entra ID からユーザー、サービス プリンシパル、およびグループを追加および削除するには、次の手順に従います。
ID の自動管理を無効にする
自動 ID 管理が無効になっている場合:
- ユーザーとサービス プリンシパルは残ります。アクセス権は保持されますが、Microsoft Entra ID と同期されなくなります。 自動 ID 管理を無効にした後、アカウント コンソールでユーザーとサービス プリンシパルを手動で削除または非アクティブ化できます。
- グループはメンバーシップを失います。グループは Azure Databricks に残りますが、すべてのグループ メンバーは削除されます。
- Microsoft Entra ID との同期なし: Microsoft Entra ID の変更 (ユーザーの削除やグループの更新など) は、Azure Databricks には反映されません。
- アクセス許可の継承なし: 自動 ID 管理によって管理されているユーザーは、親グループからアクセス許可を継承できません。 これは、入れ子になったグループ ベースのアクセス許可モデルに影響します。
自動 ID 管理を無効にする予定の場合、Databricks では、フォールバックとして事前に SCIM プロビジョニングを設定することをお勧めします。 その後、SCIM は ID とグループの同期を引き継ぐ可能性があります。
- アカウント管理者として、アカウント コンソールにログインします。
- サイドバーで[ セキュリティ]をクリックします。
- [ ユーザー プロビジョニング ] タブで、[ 自動 ID 管理 ] を [無効] に切り替えます。
ユーザー ログインの監査
system.access.audit テーブルに対してクエリを実行して、ワークスペースにログインしたユーザーを監査できます。 例えば:
SELECT
DISTINCT user_identity.email
FROM
system.access.audit
WHERE
action_name = "aadBrowserLogin"
system.access.audit テーブルの詳細については、「監査ログ システム テーブルリファレンス を参照してください。