Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Esta página fornece uma visão geral dos grupos no Azure Databricks. Para saber como gerenciar grupos, consulte Gerenciar grupos.
Os grupos simplificam o gerenciamento de identidades, facilitando a atribuição de acesso a workspaces, dados e outros objetos protegíveis. Todas as identidades do Databricks podem ser atribuídas como membros de grupos.
Observação
Esta página pressupõe que seu workspace tenha a federação de identidade habilitada, que é o padrão para a maioria dos workspaces. Para obter informações sobre workspaces herdados sem federação de identidade, consulte workspaces herdados sem federação de identidade.
Fontes de grupo
Os grupos do Azure Databricks são classificados em quatro categorias com base em sua origem, que é mostrada na coluna Origem da lista de grupos
| Fonte | Descrição |
|---|---|
| Conta | Pode-se conceder acesso a dados em um metastore do Catálogo do Unity, funções atribuídas a entidades de serviço e grupos, e permissões para espaços de trabalho. Esses são os principais grupos para gerenciar o acesso na conta do Azure Databricks. |
| Externo | Criado no Azure Databricks a partir do seu provedor de identidade. Esses grupos permanecem sincronizados com o IdP (como a ID do Microsoft Entra). Grupos externos também são considerados grupos de contas. |
| Sistema | Criado e mantido pelo Azure Databricks. Cada conta inclui um account users grupo que contém todos os usuários. Cada workspace tem dois grupos de sistema: users (todos os membros do workspace) e admins (administradores de workspace). Os grupos do sistema não podem ser excluídos. |
| Área de trabalho | Conhecidos como grupos locais de workspace, esses são grupos herdados que são usados apenas dentro do workspace no qual foram criados. Não podem ser atribuídos a outros espaços de trabalho, receber acesso a dados do Catálogo do Unity ou funções no nível da conta. O Databricks recomenda converter grupos locais de workspace em grupos de contas para uma funcionalidade mais ampla. |
Quando o gerenciamento automático de identidade está habilitado, os grupos da ID do Microsoft Entra ficam visíveis no console da conta e na página de configurações de administrador do workspace. O status deles reflete a atividade e o estado entre o Microsoft Entra ID e o Azure Databricks. Consulte os status de usuário e grupo.
Quem pode gerenciar grupos?
Para criar grupos no Azure Databricks, você deve ser:
- Um administrador de conta
- Um administrador do workspace
Para gerenciar grupos no Azure Databricks, você deve ter a função de gerente de grupo (Visualização Pública) em um grupo. Essa função permite que você:
- Gerenciar associação ao grupo
- Excluir grupos
- Atribuir a função de gerente de grupo a outros usuários
Por padrão:
- Os administradores de conta têm automaticamente a função de gerente de grupo para todos os grupos.
- Os administradores do workspace têm automaticamente a função de gerente de grupo em grupos que eles criam.
As funções do gerenciador de grupo podem ser configuradas por:
- Administradores de conta, usando o console da conta
- Administradores de espaço de trabalho, usando a página de configurações de administração do espaço de trabalho
- Gerentes de grupo não administradores, usando a API de Controle de Acesso de Contas
Os administradores do workspace também podem criar e gerenciar grupos locais de workspace herdados.
Sincronize grupos na sua conta do Azure Databricks a partir do Microsoft Entra ID
O Databricks recomenda sincronizar grupos do Microsoft Entra ID na sua conta do Azure Databricks.
Você pode sincronizar grupos do Microsoft Entra ID automaticamente ou usando um conector de provisionamento SCIM.
O gerenciamento automático de identidade permite adicionar usuários, entidades de serviço e grupos da ID do Microsoft Entra ao Azure Databricks sem configurar um aplicativo na ID do Microsoft Entra. O Databricks usa a ID do Microsoft Entra como fonte de registro, portanto, todas as alterações nos usuários ou associações de grupo são respeitadas no Azure Databricks. O gerenciamento automático de identidade dá suporte a grupos aninhados. O gerenciamento automático de identidade é habilitado por padrão para contas criadas após 1º de agosto de 2025. Para obter detalhes, veja Sincronizar usuários e grupos automaticamente do Microsoft Enterprise ID.
O provisionamento SCIM permite configurar um aplicativo empresarial no Microsoft Entra ID para manter usuários e grupos sincronizados com o Microsoft Entra ID. O provisionamento do SCIM não dá suporte a grupos aninhados. Para obter instruções, consulte Sincronizar usuários e grupos da ID do Microsoft Entra usando SCIM.