Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Esta página fornece uma visão geral dos grupos no Azure Databricks. Para saber como gerenciar grupos, consulte Gerenciar grupos.
Os grupos simplificam o gerenciamento de identidades, facilitando a atribuição de acesso a espaços de trabalho, dados e outros objetos protegíveis. Todas as identidades do Databricks podem ser atribuídas como membros de grupos.
Observação
Esta página assume que o seu espaço de trabalho tem a federação de identidade ativada, que é o padrão para a maioria dos espaços de trabalho. Para informações sobre espaços de trabalho legados sem federação de identidade, veja Espaços de trabalho legados sem federação de identidade.
Agrupar fontes
Os grupos do Azure Databricks são classificados em quatro categorias com base em sua origem, que é mostrada na coluna Origem da lista de grupos
| Fonte | Descrição |
|---|---|
| Conta | Pode-se conceder acesso a dados em uma metastore do Unity Catalog, atribuir funções a entidades de serviço e grupos, e permissões para áreas de trabalho. Esses são os grupos principais para gerenciar o acesso na conta do Azure Databricks. |
| externa | Criado no Azure Databricks a partir do seu provedor de identidade. Esses grupos permanecem sincronizados com seu IdP (como o Microsoft Entra ID). Os grupos externos também são considerados grupos de contas. |
| Sistema | Criado e mantido pelo Azure Databricks. Cada conta inclui um account users grupo que contém todos os utilizadores. Cada espaço de trabalho tem dois grupos de sistema: users (todos os membros do espaço de trabalho) e admins (administradores do espaço de trabalho). Os grupos de sistema não podem ser excluídos. |
| Área de trabalho | Conhecidos como grupos locais de espaço de trabalho, esses são grupos herdados que foram usados apenas dentro do espaço de trabalho no qual foram criados. Eles não podem ser atribuídos a outros espaços de trabalho, nem ter acesso concedido a dados do Catálogo Unity, nem serem atribuídos a funções no nível da conta. O Databricks recomenda a conversão de grupos locais de espaço de trabalho em grupos de contas para uma funcionalidade mais ampla. |
Quando a gestão automática de identidades está ativada, os grupos do Microsoft Entra ID são visíveis na consola da conta e na página de definições de administrador do espaço de trabalho. O seu estado reflete a sua atividade e estado entre o Microsoft Entra ID e o Azure Databricks. Consulte os estados dos utilizadores e dos grupos.
Quem pode gerir grupos?
Para criar grupos no Azure Databricks, você deve ser:
- Um administrador de conta
- Um administrador de espaço de trabalho
Para gerenciar grupos no Azure Databricks, você deve ter a função de gerente de grupo (Visualização Pública) em um grupo. Esta função permite-lhe:
- Gerir filiação ao grupo
- Eliminar grupos
- Atribuir a função de gestor de grupo a outros utilizadores
Por predefinição:
- Os administradores de conta têm automaticamente a função de gestor de grupo para todos os grupos.
- Os administradores de espaço de trabalho têm automaticamente a função de gestor de grupo nos grupos que criam.
As funções de gerente de grupo podem ser configuradas por:
- Administradores de conta, usando o console de conta
- Administradores de espaço de trabalho, usando a página de configurações de administração do espaço de trabalho
- Gerentes de grupo não administradores, usando a API de Controle de Acesso de Contas
Os administradores de espaço de trabalho também podem criar e gerenciar grupos locais de espaço de trabalho herdados.
Sincronizar grupos com a sua conta do Azure Databricks a partir do Microsoft Entra ID
O Databricks recomenda sincronizar grupos da ID do Microsoft Entra com sua conta do Azure Databricks.
Você pode sincronizar grupos a partir do seu ID do Microsoft Entra automaticamente ou usando um conector de provisionamento SCIM.
O gerenciamento automático de identidades permite adicionar usuários, entidades de serviço e grupos do Microsoft Entra ID ao Azure Databricks sem configurar um aplicativo no Microsoft Entra ID. O Databricks usa a ID do Microsoft Entra como fonte de registro, portanto, quaisquer alterações em usuários ou associações de grupo são respeitadas no Azure Databricks. O gerenciamento automático de identidades oferece suporte a grupos aninhados. O gerenciamento automático de identidades é habilitado por padrão para contas criadas após 1º de agosto de 2025. Para obter detalhes, consulte Sincronizar usuários e grupos automaticamente a partir da ID do Microsoft Entra.
O provisionamento SCIM permite configurar um aplicativo corporativo no Microsoft Entra ID para manter os usuários e grupos sincronizados com o Microsoft Entra ID. O provisionamento SCIM não oferece suporte a grupos aninhados. Para obter instruções, consulte Sincronizar usuários e grupos do Microsoft Entra ID usando SCIM.