Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ta strona zawiera omówienie grup w usłudze Azure Databricks. Aby uzyskać informacje na temat zarządzania grupami, zobacz Zarządzanie grupami.
Grupy upraszczają zarządzanie tożsamościami, ułatwiając przypisywanie dostępu do obszarów roboczych, danych i innych zabezpieczanych obiektów. Wszystkie tożsamości Databricks mogą być przypisane do grup.
Uwaga / Notatka
Na tej stronie założono, że obszar roboczy ma włączoną federację tożsamości, która jest domyślna dla większości obszarów roboczych. Aby uzyskać informacje o starszych obszarach roboczych bez federacji tożsamości, zobacz Starsze obszary robocze bez federacji tożsamości.
Grupowanie źródeł
Grupy usługi Azure Databricks są klasyfikowane na cztery kategorie na podstawie ich źródła, które są wyświetlane w kolumnie Źródło listy grup
| Źródło | Opis |
|---|---|
| Rachunek | Można przyznać dostęp do danych w metastore Katalogu Unity, przypisać role zasadom usługi i grupom oraz uprawnienia do obszarów roboczych. Są to podstawowe grupy do zarządzania dostępem na koncie usługi Azure Databricks. |
| Zewnętrzny | Utworzono w usłudze Azure Databricks przez twojego dostawcę tożsamości. Te grupy synchronizują się z dostawcą usług identyfikacyjnych (na przykład Microsoft Entra ID). Grupy zewnętrzne są również traktowane jako grupy kont. |
| System | Utworzone i obsługiwane przez usługę Azure Databricks. Każde konto zawiera grupę obejmującą account users wszystkich użytkowników. Każdy obszar roboczy ma dwie grupy systemowe: users (wszystkie elementy członkowskie obszaru roboczego) i admins (administratorzy obszaru roboczego). Nie można usunąć grup systemowych. |
| Obszar roboczy | Nazywane grupami lokalnymi obszaru roboczego są to starsze grupy, które były używane tylko w obszarze roboczym, w którym zostały utworzone. Nie można przypisać ich do innych obszarów roboczych, zapewnić dostępu do danych katalogu Unity ani przypisać ról na poziomie konta. Databricks zaleca konwertowanie grup lokalnych w obszarach roboczych na grupy kont w celu uzyskania szerszej funkcjonalności. |
Po włączeniu automatycznego zarządzania tożsamościami grupy z identyfikatora Entra firmy Microsoft są widoczne w konsoli konta i na stronie ustawień administratora obszaru roboczego. Ich stan odzwierciedla ich aktywność i stan między identyfikatorem Microsoft Entra i usługą Azure Databricks. Zobacz Stan użytkowników i grup.
Kto może zarządzać grupami?
Aby utworzyć grupy w usłudze Azure Databricks, musisz być jednym z poniższych:
- Administrator konta
- Administrator obszaru roboczego
Aby zarządzać grupami w usłudze Azure Databricks, musisz mieć rolę menedżera grupy (publiczna wersja zapoznawcza) w grupie. Ta rola umożliwia:
- Zarządzanie członkostwem w grupie
- Usuwanie grup
- Przypisywanie roli menedżera grup do innych użytkowników
Domyślnie:
- Administratorzy kont automatycznie mają rolę menedżera grupy dla wszystkich grup.
- Administratorzy obszaru roboczego automatycznie mają rolę menedżera grupy w tworzonych grupach.
Role menedżera grupy można skonfigurować za pomocą:
- Administratorzy konta, korzystając z konsoli konta
- Administratorzy obszaru roboczego przy użyciu strony ustawień administratora obszaru roboczego
- Menedżerowie grup niebędący administratorami przy użyciu interfejsu API kontroli dostępu kont
Administratorzy obszaru roboczego mogą również tworzyć starsze grupy obszarów roboczych i zarządzać nimi.
Synchronizowanie grup do konta Azure Databricks z Microsoft Entra ID
Usługa Databricks zaleca synchronizowanie grup z identyfikatora Entra firmy Microsoft z kontem usługi Azure Databricks.
Grupy można synchronizować automatycznie z identyfikatora Entra firmy Microsoft lub przy użyciu łącznika aprowizacji SCIM.
Automatyczne zarządzanie tożsamościami umożliwia dodawanie użytkowników, jednostek usługi i grup z identyfikatora Entra firmy Microsoft do usługi Azure Databricks bez konfigurowania aplikacji w usłudze Microsoft Entra ID. Usługa Databricks używa Microsoft Entra ID jako głównego źródła danych, więc wszelkie zmiany w użytkownikach lub członkostwie grup są uwzględniane w usłudze Azure Databricks. Automatyczne zarządzanie tożsamościami obsługuje grupy zagnieżdżone. Automatyczne zarządzanie tożsamościami jest domyślnie włączone dla kont utworzonych po 1 sierpnia 2025 r. Aby uzyskać szczegółowe informacje, zobacz Automatyczne synchronizowanie użytkowników i grup z identyfikatora entra firmy Microsoft.
Aprowizacja SCIM umożliwia skonfigurowanie aplikacji dla przedsiębiorstw w usłudze Microsoft Entra ID w celu zachowania synchronizacji użytkowników i grup z identyfikatorem Entra firmy Microsoft. Udostępnianie SCIM nie obsługuje grup zagnieżdżonych. Aby uzyskać instrukcje, zobacz Synchronizowanie użytkowników i grup z Microsoft Entra ID za pomocą protokołu SCIM.