このページでは、AI/BI 製品に適用できるアカウントとワークスペース レベルの管理コントロールについて説明します。
ダッシュボードと Genie アクセスの管理
ユーザーには、Azure Databricks ワークスペースとの対話方法を制御する権利がワークスペース レベルで付与されます。 各アクセスの種類の詳細については、「 エンタイトルメントの管理 」を参照してください。
ダッシュボードと Genie スペースは、次のユーザーの種類と安全に共有できます。
-
ワークスペース ユーザー: アクセス許可は、メンバーであるワークスペースにスコープが設定されます。 複数のワークスペースにアクセスするには、各ワークスペースに個別に追加する必要があります。 アクセスは、データ資産との対話方法を決定する権利によって制御されます。
- Databricks SQL アクセス権を使用すると、ユーザーは新しいダッシュボードと Genie スペースを作成できます。 下書きダッシュボードと発行済みダッシュボードを表示、編集、管理するためのアクセス権を付与できます。 コンピューティングと Unity カタログの管理データへのアクセス権を付与できます。
- コンシューマー アクセス権を使用する: ユーザーには、発行されたダッシュボードへのアクセス権を付与できます。 コンピューティングと Unity カタログの管理データへのアクセス権を付与できます。 詳細については、「 コンシューマー アクセスとは」を参照してください。
- アカウント ユーザー: 共有データアクセス許可を持つ発行済みダッシュボードへのアクセス権を付与できます。 アカウント ユーザーは Azure Databricks アカウントに登録する必要がありますが、追加のリソースにアクセスしたり、ワークスペースに追加したりする必要はありません。 アカウント ユーザーは、アカウント内の任意のワークスペースにわたってダッシュボードまたは Genie スペースの受信者として割り当てることができます。 公開されたダッシュボードと共有データのアクセス許可の詳細については、「 ダッシュボード の共有」を参照してください。
「エンタイトルメントを管理する」をご覧ください。
アクセスの種類別の機能
次の表は、各アクセスの種類に関連付けられている機能をまとめたものです。
| 能力 | アカウントメンバーのアクセス | 消費者アクセス | Databricks SQL アクセス |
|---|---|---|---|
| ダッシュボードの表示/実行 | ✓ | ✓ | ✓ |
| Genie スペースの表示/実行 | ✓ | ✓ | |
| ビューに行レベルと列レベルのセキュリティを適用する | ✓ | ✓ | |
| BI ツールを使用して SQL ウェアハウスにクエリを実行する | ✓ | ✓ | |
| サードパーティの BI ツールを使用して Unity カタログ管理データにアクセスする | ✓ | ||
| AI/BI ダッシュボードの読み取り/書き込み | ✓ | ||
| Genie スペースの読み取り/書き込み | ✓ |
注
アカウント ユーザーがダッシュボード データを表示できるようにするには、共有データのアクセス許可を使用してダッシュボードを発行する必要があります。
ネットワークに関する考慮事項
IP アクセス リストが構成されている場合、ダッシュボードにアクセスできるのは、ユーザーが VPN を使用する場合など、承認済みの IP 範囲内からアクセスする場合のみです。 これは、ワークスペースに割り当てられているかどうかに関係なく、すべてのユーザーに適用されます。 アクセスの構成の詳細については、「IP アクセス リストの管理」を参照してください。
ユーザーとグループの管理
Azure Databricks に登録されているすべてのユーザーは、お使い Azure Databricks アカウントに属しています。 Azure Databricks アカウントにユーザーを登録すると、そのユーザーが共有ダッシュボードまたは Genie 空間を表示するときに Azure Databricks が認証に使用できる検証可能な ID が確立されます。 個々のユーザーをグループに整理すると、作成者や編集者の共有が容易になります。 たとえば、作成者は、アカウント内の各ユーザーと共有するのではなく、指定した 1 つのグループと共有できます。
注
ユーザーは、ワークスペース ユーザーにのみ付与できる Genie 空間と対話するために、適切なデータとコンピューティング権限を持っている必要があります。
ユーザーは、自動 ID 管理を使用して、Microsoft Entra ID 内の任意のユーザー、サービス プリンシパル、またはグループとダッシュボードを共有することもできます。 共有されると、それらのユーザー、サービス プリンシパル、およびグループのメンバーは、ログイン時に Azure Databricks アカウントに自動的に追加されます。 これらは、ダッシュボードの元のワークスペースには追加されません。 自動 ID 管理は、2025 年 8 月 1 日以降に作成されたアカウントに対して既定で有効になっています。 詳細については、「ユーザーとグループを Microsoft Entra IDから自動的に同期する」を参照してください。
ユーザーとグループは、ゼロ個、1 個、または複数のワークスペースにアクセスできます。 作成者は、ダッシュボードや Genie スペースを共有するときに、他のワークスペース オブジェクトと同様に、アクセスリストを 持つユーザー にユーザーとグループを追加して、特定のアクセス許可を割り当てることができます。
ダッシュボードでは、次のいずれかのオプションを使用して 共有設定 を構成できます。
- アクセス権を持つユーザーのみが閲覧できる
- マイ アカウント内のすべてのユーザーが閲覧できる
ダッシュボードが共有データのアクセス許可を使用して公開され、アカウント内の特定のユーザー、グループ、またはすべてのユーザーと共有されている場合、それらのユーザーは、元のワークスペースにアクセスできるかどうかに関係なく、ダッシュボードにアクセスできます。
次の図は、ワークスペース レベルとアカウント レベルでのユーザーとグループの関係を示しています。
アカウント登録を超えて追加の構成は必要ありません。 ユーザーをワークスペースに割り当てたり、コンピューティング リソースへのアクセス権を付与したりする必要はありません。
ダッシュボードの埋め込みを管理する
ユーザーは、外部の Web サイトやアプリケーションにダッシュボードを安全に埋め込むことができます。 各埋め込みオプションでは、ワークスペース管理者が設定とアクセス許可を構成する必要があります。 埋め込み設定を管理する方法については、「 ダッシュボードの埋め込みの管理」を参照してください。
ワークスペース管理者のサブスクリプション コントロール
ワークスペース管理者は、ユーザーがサブスクリプションを使用してダッシュボードを配布できないようにすることができます。 この設定を変更すると、すべてのユーザーがスケジュールされたダッシュボードにメール サブスクライバーを追加できなくなります。 ダッシュボード編集者はサブスクライバーを追加できません。また、ダッシュボード閲覧者にはスケジュールされたダッシュボードをサブスクライブするオプションが表示されません。
メールの更新を共有しないようにするには:
- Azure Databricks ワークスペースの上部バーでユーザー名をクリックし、[設定] を選択します。
- [設定] サイドバーにある [通知] をクリックします。
- [ダッシュボードのメール サブスクリプションを有効にする] オプションをオフにします。
この設定がオフの場合、既存のサブスクリプションは一時停止され、既存のサブスクリプション リストは変更できなくなります。 この設定を再び有効にすると、サブスクリプションは既存のリストを使用して再開されます。
Slack またはMicrosoft Teams通知を構成する
ダッシュボード エディターでは、スケジュールにサブスクライバーとして Slack チャネルとMicrosoft Teams チャネルを追加できます。 ユーザーが Slack またはMicrosoft Teams チャネルをダッシュボード スケジュールにサブスクライブできるようにするには、ワークスペース管理者として Slack またはMicrosoft Teams通知先を構成します。
Slack サブスクリプションと Teams サブスクリプションは、次のようなダッシュボード スナップショットを提供します。
- チャネルに直接表示されるダッシュボードの PNG イメージ スナップショット
- Azure Databricks でダッシュボードを開く直接リンク
- メッセージ スレッド内の PDF スナップショット添付ファイル
アプリの作成、OAuth アクセス許可の構成、ダッシュボード サブスクリプションの通知先の設定に関する詳細な手順については、「Slack の宛先の Slack 通知を構成する 」および「Microsoft Teamsの宛先の Microsoft Teams通知を構成 する」を参照してください。
コントロールをダウンロードする
ワークスペース管理者は、次の手順を使用して、ユーザーがダッシュボードと Genie 領域の結果をダウンロードできないようにセキュリティ設定を調整できます。
- Azure Databricks ワークスペースの上部バーでユーザー名をクリックし、[設定] を選択します。
- [設定] サイドバーにある [セキュリティ] をクリックします。
- [SQL 結果のダウンロード] オプションをオフにします。
ダッシュボードの所有権を譲渡する
ワークスペース管理者は、ダッシュボードの所有権を別のユーザーに譲渡できます。
- ダッシュボードのリストに移動します。 ダッシュボード名をクリックして編集します。
- [共有] をクリックします。
Gear icon.[共有] ダイアログの右上にある アイコンをクリックします。
![歯車アイコン付きの [共有] ダイアログ](../../_static/images/dashboards/lakeview-transfer-owner.png)
- 検索するユーザー名の入力を開始し、新しい所有者を選択します。
- [Confirm](確認) をクリックします。
新しい所有者が [ 共有 ] ダイアログに [CAN MANAGE] のアクセス許可と共に表示されます。 所有者別に一覧表示されたダッシュボードを表示するには、
[ダッシュボード] をクリックして、使用可能なダッシュボードのリストに移動します。
AI/BI アクティビティの監視
管理者は、監査ログを使用して、ダッシュボードと Genie スペースのアクティビティを監視できます。 AI/BI ダッシュボード イベントと AI/BI Genie イベントを参照してください。 監査ログ情報にアクセスして一般的な質問に回答する方法を示すコード例については、「 監査ログとアラートを使用して AI/BI の使用状況を監視する」を参照してください。