次の方法で共有

グループの管理

このページでは、Azure Databricks アカウントとワークスペースのグループを管理する方法について説明します。

グループの概要については、「 グループ」を参照してください。

Note

このページでは、ワークスペースで ID フェデレーションが有効になっていることを前提としています。これは、ほとんどのワークスペースの既定値です。 ID フェデレーションを使用しないレガシ ワークスペースの詳細については、「ID フェデレーション のないレガシ ワークスペース」を参照してください。

Microsoft Entra ID テナントから Azure Databricks アカウントにグループを同期する

Microsoft Entra ID テナントから Azure Databricks アカウントにグループを自動的に同期することも、SCIM プロビジョニング コネクタを使用して同期することもできます。

自動 ID 管理 を使用すると、Microsoft Entra ID でアプリケーションを構成することなく、Microsoft Entra ID のユーザー、サービス プリンシパル、およびグループを Azure Databricks に追加できます。 Databricks は Microsoft Entra ID をレコードのソースとして使用するため、ユーザーまたはグループ メンバーシップに対する変更は Azure Databricks で尊重されます。 自動 ID 管理では、入れ子になったグループがサポートされます。 自動 ID 管理は、2025 年 8 月 1 日以降に作成されたアカウントに対して既定で有効になっています。 詳細については、「 Microsoft Entra ID からユーザーとグループを自動的に同期する」を参照してください。

SCIM プロビジョニング を使用すると、Microsoft Entra ID でエンタープライズ アプリケーションを構成して、ユーザーとグループを Microsoft Entra ID と同期させ続けることができます。 SCIM プロビジョニングでは、入れ子になったグループはサポートされません。 手順については、「 SCIM を使用して Microsoft Entra ID のユーザーとグループを同期する」を参照してください。

アカウントにグループを追加する

アカウント管理者とワークスペース管理者は、アカウント コンソールまたはワークスペース管理者設定ページを使用して、Azure Databricks アカウントにグループを追加できます。

アカウント コンソール

  1. アカウント管理者として、アカウント コンソールにログインします。
  2. サイドバーで、[ユーザー管理] をクリックします。
  3. [グループ] タブで、[グループの追加] をクリックします。
  4. グループの名前を入力します。
  5. [Confirm](確認) をクリックします。
  6. ダイアログが表示されたら、グループにユーザー、サービス プリンシパル、グループを追加します。

ワークスペース管理者設定

  1. ワークスペース管理者として、Azure Databricks ワークスペースにログインします。
  2. Azure Databricks ワークスペースの上部バーでユーザー名をクリックし、[設定] を選択します。
  3. [ ID とアクセス ] タブをクリックします。
  4. [グループ] の横にある [管理] をクリックします。
  5. [グループの追加] をクリックします。
  6. [ 新規追加] をクリックします。
  7. グループの名前を入力します。
  8. 追加をクリックします。

グループへのメンバーの追加

アカウント管理者とワークスペース管理者は、アカウント コンソールまたはワークスペース管理者設定ページを使用して、Azure Databricks アカウントにグループを追加できます。 ワークスペース管理者ではないグループ マネージャーは、Account Groups API を使用してグループ メンバーシップを管理する必要があります。

Note

外部グループを Microsoft Entra ID と同期させるために、既定ではアカウント コンソールで外部グループのメンバーシップを管理することはできません。 Azure Databricks UI から外部グループ メンバーシップを更新するには、アカウント管理者は、アカウント コンソールのプレビュー ページ 変更できない外部グループのプレビュー を無効にすることができます。 自動 ID 管理を使用して管理されている外部グループは、変更できない外部グループプレビューが無効になっている場合でも、Azure Databricks では更新できません。

アカウント コンソール

  1. アカウント管理者として、アカウント コンソールにログインします。
  2. サイドバーで、[ユーザー管理] をクリックします。
  3. [グループ] タブで、更新しようとしているグループを選択します。
  4. [メンバーの追加] をクリックします。
  5. 追加しようとしているユーザー、グループ、またはサービス プリンシパルを検索して選択します。
  6. 追加をクリックします。

グループを更新してから、グループ メンバーシップがすべてのシステムに完全に反映されるまでに数分の遅延があります。

ワークスペース管理者設定

Note

子グループを admins グループに追加することはできません。 ワークスペースのローカル グループやシステム グループをアカウント グループのメンバーとして追加することはできません。

  1. ワークスペース管理者として、Azure Databricks ワークスペースにログインします。
  2. Azure Databricks ワークスペースの上部バーでユーザー名をクリックし、[設定] を選択します。
  3. [ ID とアクセス ] タブをクリックします。
  4. [グループ] の横にある [管理] をクリックします。
  5. 更新するグループを選択します。 更新するには、グループに対するグループ マネージャー ロールが必要です。
  6. [メンバー] タブで [メンバーの追加] をクリックします。
  7. ダイアログで、追加するユーザー、サービス プリンシパル、およびグループを参照または検索して選択します。
  8. [Confirm](確認) をクリックします。

グループの名前を変更する

アカウント管理者はアカウント コンソールを使用してグループの名前を更新でき、グループ マネージャーは アカウント グループ API を使用してグループの名前を更新できます。 外部グループを Microsoft Entra ID と同期させるために、アカウント コンソールの外部グループの名前を既定で更新することはできません。

アカウント コンソール

  1. アカウント管理者として、アカウント コンソールにログインします。
  2. サイドバーで、[ユーザー管理] をクリックします。
  3. [グループ] タブで、更新しようとしているグループを選択します。
  4. [グループ情報] をクリックします。
  5. [名前] で、名前を更新します。
  6. [保存] をクリックします。

アカウント グループ API

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

アカウント グループ API に対して認証する方法については、「 Azure Databricks リソースへのアクセスを承認する」を参照してください。

ワークスペースにグループを割り当てる

アカウント管理者とワークスペース管理者は、アカウント コンソールまたはワークスペース管理者設定ページを使用して、Azure Databricks ワークスペースにグループを割り当てることができます。

アカウント コンソール

ワークスペース ローカル グループは、アカウント コンソールを使用してワークスペースに割り当てできません。

  1. アカウント管理者として、アカウント コンソールにログインします。
  2. サイドバーで、[ワークスペース] をクリックします。
  3. ワークスペース名をクリックします。
  4. [Permissions](アクセス許可) タブで [Add permissions](アクセス許可の追加) をクリックします。
  5. グループを検索して選択し、アクセス許可レベル (ワークスペース ユーザー、または管理) を割り当ててから、[保存] をクリックします。

ワークスペース管理者設定

  1. ワークスペース管理者として、Azure Databricks ワークスペースにログインします。
  2. Azure Databricks ワークスペースの上部バーでユーザー名をクリックし、[設定] を選択します。
  3. [ ID とアクセス ] タブをクリックします。
  4. [グループ] の横にある [管理] をクリックします。
  5. [グループの追加] をクリックします。
  6. ワークスペースに割り当てる既存のグループを選択します。
  7. 追加をクリックします。

ワークスペースからグループを削除する

アカウント グループがワークスペースから削除されると、グループのメンバーはワークスペースにアクセスできなくなりますが、グループに対するアクセス許可は維持されます。 後でそのグループがワークスペースに再び追加されると、グループには以前のアクセス許可が再び付与されます。

アカウント管理者とワークスペース管理者は、アカウント コンソールまたはワークスペース管理者設定ページを使用して、Azure Databricks ワークスペースからグループを削除できます。

アカウント コンソール

アカウント コンソールを使用して、ワークスペースローカル グループをワークスペースから削除することはできません。

  1. アカウント管理者として、アカウント コンソールにログインします。
  2. サイドバーで、[ワークスペース] をクリックします。
  3. ワークスペース名をクリックします。
  4. [アクセス許可] タブで、グループを見つけます。
  5. [Kebab] メニュー アイコン をクリックします。グループ行の右端にある kebab メニューをクリックし、[削除] を選択します
  6. 確認ダイアログで、[ 削除] をクリックします。

ワークスペース管理者設定

Note

別のグループのメンバーシップを使用して、ワークスペースに間接的に割り当てられているグループを削除することはできません。 これらのグループを削除するには、親グループから削除するか、アカウント レベルで削除する必要があります。

  1. ワークスペース管理者として、Azure Databricks ワークスペースにログインします。
  2. Azure Databricks ワークスペースの上部バーでユーザー名をクリックし、[設定] を選択します。
  3. [ ID とアクセス ] タブをクリックします。
  4. [グループ] の横にある [管理] をクリックします。
  5. グループを選んで、[x 削除] をクリックします
  6. [削除] をクリックして確定します。

グループのロールを管理する

Important

この機能は パブリック プレビュー段階です

アカウント管理者はアカウント コンソールでグループにロールを付与でき、ワークスペース管理者はワークスペース管理者設定ページを使用してグループ ロールを管理できます。 ワークスペース管理者ではないグループ マネージャーは、Account Access Control API を使用して、グループ ロールを管理できます。

アカウント コンソール

  1. アカウント管理者として、アカウント コンソールにログインします。
  2. サイドバーで、[ユーザー管理] をクリックします。
  3. [グループ] タブで、グループ名を見つけてクリックします。
  4. [Permissions] タブをクリックします。
  5. [アクセス権の付与] をクリックします。
  6. ユーザー、サービス プリンシパル、またはグループを検索して選択し、グループ マネージャー ロールを選択します。
  7. [保存] をクリックします。

ワークスペース管理者設定

アカウント グループに対してワークスペースのローカル グループやシステム グループのロールを割り当てることはできません。

  1. ワークスペース管理者として、Azure Databricks ワークスペースにログインします。
  2. Azure Databricks ワークスペースの上部バーでユーザー名をクリックし、[設定] を選択します。
  3. [ ID とアクセス ] タブをクリックします。
  4. [グループ] の横にある [管理] をクリックします。
  5. 更新するグループを選択します。 更新するには、グループに対するグループ マネージャー ロールが必要です。
  6. [Permissions] タブをクリックします。
  7. [アクセス権の付与] をクリックします。
  8. ユーザー、サービス プリンシパル、またはグループを検索して選択し、グループ マネージャー ロールを選択します。
  9. [保存] をクリックします。

グループにアカウント管理者ロールを割り当てる

アカウント コンソールを使用してアカウント管理者ロールをグループに割り当てることはできませんが、 アカウント グループ API を使用してグループに割り当てることができます。 例えば次が挙げられます。

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

アカウント グループ API に対して認証する方法については、「 Azure Databricks リソースへのアクセスを承認する」を参照してください。

親グループの表示

  1. ワークスペース管理者として、Azure Databricks ワークスペースにログインします。
  2. Azure Databricks ワークスペースの上部バーでユーザー名をクリックし、[設定] を選択します。
  3. [ID およびアクセス管理] タブをクリックします。
  4. [グループ] の横にある [管理] をクリックします。
  5. 表示するグループを選びます。
  6. [親グループ] タブで、グループの親グループを表示します。

Azure Databricks アカウントからグループを削除する

アカウント管理者は、Azure Databricks アカウントからグループを削除できます。 グループ マネージャーは、アカウント グループ API を使用してアカウントからグループを削除することもできます。「API を 使用したグループの管理」を参照してください。 アカウント コンソールを使用してグループを削除する場合、そのアカウントに設定されている SCIM プロビジョニング コネクタまたは SCIM API アプリケーションを使用してそのグループを削除する必要もあります。 そうしないと、SCIM プロビジョニングは、次回同期するときにグループとそのメンバーを追加するだけです。 SCIM を使用して Microsoft Entra ID からユーザーとグループを同期するを参照してください。

Important

グループを削除すると、そのグループ内のすべてのユーザーがアカウントから削除され、それらのユーザーが持っていたワークスペースへのアクセス権が失われます (ただし、それらのユーザーが別のグループのメンバーである場合や、それらのユーザーに対してアカウントまたはいずれかのワークスペースへのアクセスが直接許可されている場合は除きます)。 Databricks では、アカウントレベルのグループの削除は、アカウント内のすべてのワークスペースへのアクセスを禁止することを望む場合を除き、行わないことをお勧めします。 ユーザーを削除した場合の次の結果に注意してください。

  • ユーザーによって生成されたトークンを使用するアプリケーションまたはスクリプトは、Databricks API にアクセスできなくなりました。
  • ユーザーが所有するジョブは失敗します。
  • ユーザーが所有するクラスターは停止します。
  • そのユーザーによってインストールされたライブラリは無効であり、再インストールする必要があります。
  • 共有が失敗しないように、ユーザーが作成し、所有者として実行資格情報を使用して共有するクエリまたはダッシュボードを新しい所有者に割り当てる必要があります。

アカウント コンソールを使用してグループを削除するには、以下の操作を行います。

  1. アカウント管理者として、アカウント コンソールにログインします。
  2. サイドバーで、[ユーザー管理] をクリックします。
  3. [グループ] タブで、削除しようとしているグループを見つけます。
  4. Kebab メニュー アイコン をクリックします。ユーザー行の右端にある kebab メニューをクリックし、[削除] を選択します。
  5. 確認ダイアログ ボックスで、[削除の確認] をクリックします。

Note

自動 ID 管理を有効にすると、Microsoft Entra ID 内のグループがアカウント コンソールに表示されます。 グループは 非アクティブとして表示されます。 ワークスペースに追加されていない場合は使用されません。 これらのグループをグループの一覧から削除することはできません。 グループの制限にはカウントされません。

API を使用してグループを管理する

アカウント管理者、ワークスペース管理者、グループ マネージャーは、Account Groups API を使用して、Azure Databricks アカウントでグループの追加、削除、管理を行うことができます。 アカウント管理者、ワークスペース管理者、グループ マネージャーは、別のエンドポイント URL を使用して API を呼び出す必要があります。

  • アカウント管理者は {account-domain}/api/2.1/accounts/{account_id}/scim/v2/ を使用します。
  • ワークスペース管理者とグループ マネージャーは {workspace-domain}/api/2.0/account/scim/v2/ を使用します。

詳細については、アカウント グループ API に関するページを参照してください。

アカウント管理者とワークスペース管理者は、ワークスペース割り当て API を使用して、ワークスペースにグループを割り当てることができます。 Workspace Assignment API は、Azure Databricks のアカウントとワークスペースでサポートされています。

  • アカウント管理者は {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments を使用します。
  • ワークスペース管理者は {workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id} を使用します。

ワークスペース割り当て API」を参照してください。

API を使用してグループに対するロールを管理する

Important

この機能は パブリック プレビュー段階です

グループ マネージャーは、アカウント アクセス制御 API を使用してグループ ロールを管理できます。 アカウント管理者、ワークスペース管理者、グループ マネージャーは、別のエンドポイント URL を使用して API を呼び出す必要があります。

  • アカウント管理者は {account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles を使用します。
  • ワークスペース管理者とグループ マネージャーは {workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles を使用します。

Account Access Control API」と「Accounts Access Control Workspace Proxy API」をご覧ください。

グループを管理するための API の例

次の例は、ワークスペース管理者が アカウント グループ APIワークスペース割り当て API を使用してグループを管理する方法を示しています。 ワークスペース管理者は、API トークンを使用してワークスペースに対して認証を行います。

アカウント グループを作成する

curl --request POST \
  --location '{workspace-domain}/api/2.0/account/scim/v2/Groups' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "displayName": "<group-name>"
  }'

これにより、新しいアカウント グループのグループ ID が返されます。 次の API の例で参照するために保存します。

ワークスペースにグループを追加する

次の例では、ワークスペース ユーザーのアクセス許可を持つグループをワークスペースに追加します。 permissionsを [ADMIN]に設定して、グループにワークスペース管理者ロールを付与することもできます。

curl --location --request PUT '{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group-id}' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "permissions": ["USER"]
  }'

ワークスペースからグループを削除する

次の例では、ワークスペースからグループを削除します。 ワークスペースからグループを削除しても、そのグループはアカウントから削除されません。

Note

別のグループのメンバーシップを使用して、ワークスペースに間接的に割り当てられているグループを削除することはできません。 これらのグループを削除するには、親グループから削除するか、アカウント レベルで削除する必要があります。

curl --location --request PUT '{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group-id}' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "permissions": []
  }'

グループにメンバーを追加する

curl --location --request PATCH '{workspace-domain}/api/2.0/account/scim/v2/Groups/{group-id}' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "schemas": [
      "urn:ietf:params:scim:api:messages:2.0:PatchOp"
    ],
    "Operations": [
      {
        "op": "add",
        "value": {
          "members": [
            {
              "value": "{user-id}"
            }
          ]
        }
      }
    ]
  }'
  • Last updated on