Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Esta página explica como gerenciar grupos para sua conta e espaços de trabalho do Azure Databricks.
Para obter uma visão geral dos grupos, consulte Grupos.
Note
Esta página assume que o seu espaço de trabalho tem a federação de identidade ativada, que é o padrão para a maioria dos espaços de trabalho. Para informações sobre espaços de trabalho legados sem federação de identidade, veja Espaços de trabalho legados sem federação de identidade.
Sincronize grupos com a sua conta do Azure Databricks a partir do seu inquilino do Microsoft Entra ID
Você pode sincronizar grupos do locatário do Microsoft Entra ID para a sua conta do Azure Databricks automaticamente ou usando um conector de provisionamento via SCIM.
O gerenciamento automático de identidades permite adicionar usuários, entidades de serviço e grupos do Microsoft Entra ID ao Azure Databricks sem configurar um aplicativo no Microsoft Entra ID. O Databricks usa a ID do Microsoft Entra como fonte de registro, portanto, quaisquer alterações em usuários ou associações de grupo são respeitadas no Azure Databricks. O gerenciamento automático de identidades oferece suporte a grupos aninhados. O gerenciamento automático de identidades é habilitado por padrão para contas criadas após 1º de agosto de 2025. Para obter detalhes, consulte Sincronizar usuários e grupos automaticamente a partir da ID do Microsoft Entra.
O provisionamento SCIM permite configurar um aplicativo corporativo no Microsoft Entra ID para manter os usuários e grupos sincronizados com o Microsoft Entra ID. O provisionamento SCIM não oferece suporte a grupos aninhados. Para obter instruções, consulte Sincronizar usuários e grupos do Microsoft Entra ID usando SCIM.
Adicionar grupos à sua conta
Os administradores de conta e os administradores de espaço de trabalho podem adicionar grupos à conta do Azure Databricks usando o console de conta ou a página de configurações de administrador do espaço de trabalho.
Console da conta
- Como administrador da conta, inicie sessão na consola da conta.
- Na barra lateral, clique em Gerenciamento de usuários.
- Na guia Grupos, clique em Adicionar grupo.
- Introduza um nome para o grupo.
- Clique em Confirmar.
- Quando solicitado, adicione usuários, entidades de serviço e grupos ao grupo.
Configurações de administração do espaço de trabalho
- Como administrador do espaço de trabalho, faça logon no espaço de trabalho do Azure Databricks.
- Clique no seu nome de utilizador na barra superior da área de trabalho do Azure Databricks e selecione Definições.
- Clique na guia Identidade e acesso .
- Ao lado de Grupos, clique em Gerenciar.
- Clique em Adicionar grupo.
- Clique em Adicionar novo.
- Introduza um nome para o grupo.
- Clique em Adicionar.
Adicionar membros a um grupo
Os administradores de conta e os administradores de espaço de trabalho podem adicionar grupos à conta do Azure Databricks usando o console de conta ou a página de configurações de administrador do espaço de trabalho. Os gerentes de grupo que não são administradores de espaço de trabalho devem gerir os membros do grupo usando a API de Grupos de Contas.
Note
Para manter os grupos externos sincronizados com o Microsoft Entra ID, você não pode gerenciar a associação de grupos externos no console da conta por padrão. Para atualizar a associação a grupos externos a partir da interface do utilizador do Azure Databricks, um administrador de conta pode desativar a pré-visualização de grupos externos imutáveis na página de pré-visualização da consola da conta. Os grupos externos que são gerenciados usando o gerenciamento automático de identidades não podem ser atualizados no Azure Databricks, mesmo quando a visualização de grupos externos imutáveis está desabilitada.
Console da conta
- Como administrador da conta, inicie sessão na consola da conta.
- Na barra lateral, clique em Gerenciamento de usuários.
- No separador Grupos , selecione o grupo que pretende atualizar.
- Clique em Adicionar membros.
- Procure o usuário, grupo ou entidade de serviço que deseja adicionar e selecione-o.
- Clique em Adicionar.
Há um atraso de alguns minutos entre a atualização de um grupo e a associação ao grupo ser totalmente propagada em todos os sistemas.
Configurações de administração do espaço de trabalho
Note
Não é possível adicionar um grupo filho ao grupo admins. Não é possível adicionar grupos locais de espaço de trabalho ou grupos de sistema como membros de grupos de contas.
- Como administrador do espaço de trabalho, faça logon no espaço de trabalho do Azure Databricks.
- Clique no seu nome de utilizador na barra superior da área de trabalho do Azure Databricks e selecione Definições.
- Clique na guia Identidade e acesso .
- Ao lado de Grupos, clique em Gerenciar.
- Selecione o grupo que deseja atualizar. Você deve ter a função de gerente de grupo no grupo para atualizá-lo.
- Na guia Membros, clique em Adicionar membros.
- Na caixa de diálogo, procure ou pesquise os usuários, entidades de serviço e grupos que deseja adicionar e selecione-os.
- Clique em Confirmar.
Alterar o nome de um grupo
Os administradores de conta podem atualizar o nome dos grupos usando o console de conta e os gerentes de grupo podem atualizar o nome dos grupos usando a API de Grupos de Conta. Para manter os grupos externos sincronizados com o Microsoft Entra ID, não é possível atualizar o nome de um grupo externo no console da conta por padrão.
Console da conta
- Como administrador da conta, inicie sessão na consola da conta.
- Na barra lateral, clique em Gerenciamento de usuários.
- No separador Grupos , selecione o grupo que pretende atualizar.
- Clique em Informações do grupo.
- Em Nome, atualize o nome.
- Clique em Salvar.
API de grupos de contas
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
{
"op": "replace",
"path": "displayName",
"value": "<updated-name>"
}
}
]
}
Para obter informações sobre como autenticar na API de Grupos de Contas, consulte Autorizar acesso aos recursos do Azure Databricks.
Atribuir um grupo a uma área de trabalho
Administradores de conta e administradores de espaço de trabalho podem atribuir grupos a um espaço de trabalho do Azure Databricks usando o console de conta ou a página de configurações de administrador do espaço de trabalho.
Console da conta
Os grupos locais de espaço de trabalho não podem ser atribuídos a espaços de trabalho através do console da conta.
- Como administrador da conta, inicie sessão na consola da conta.
- Na barra lateral, clique em Espaços de trabalho.
- Clique no nome do espaço de trabalho.
- No separador Permissões, clique em Adicionar permissões.
- Procure e selecione o grupo, atribua o nível de permissão ( Usuário ou Administrador do espaço de trabalho) e clique em Salvar.
Configurações de administração do espaço de trabalho
- Como administrador do espaço de trabalho, faça logon no espaço de trabalho do Azure Databricks.
- Clique no seu nome de utilizador na barra superior da área de trabalho do Azure Databricks e selecione Definições.
- Clique na guia Identidade e acesso .
- Ao lado de Grupos, clique em Gerenciar.
- Clique em Adicionar grupo.
- Selecione um grupo existente para atribuir ao espaço de trabalho.
- Clique em Adicionar.
Remover um grupo de uma área de trabalho
Quando um grupo de contas é removido de um espaço de trabalho, os membros do grupo não podem mais acessar o espaço de trabalho, no entanto, as permissões são mantidas no grupo. Se o grupo for adicionado posteriormente de volta a um espaço de trabalho, o grupo recuperará suas permissões anteriores.
Os administradores de conta e de espaço de trabalho podem remover um grupo de um espaço de trabalho do Azure Databricks usando o console de conta ou a página de configurações de administrador do espaço de trabalho.
Console da conta
Os grupos locais de espaço de trabalho não podem ser removidos dos espaços de trabalho através do console de contas.
- Como administrador da conta, inicie sessão na consola da conta.
- Na barra lateral, clique em Espaços de trabalho.
- Clique no nome do espaço de trabalho.
- Na guia Permissões, localize o grupo.
- Clique no
à direita da linha do grupo e selecione Remover. - Na caixa de diálogo de confirmação, clique em Remover.
Configurações de administração do espaço de trabalho
Note
Não pode remover grupos que sejam atribuídos indiretamente ao espaço de trabalho através da pertença a outro grupo. Para remover estes grupos, deve removê-los do grupo principal ou removê-los ao nível da conta.
- Como administrador do espaço de trabalho, faça logon no espaço de trabalho do Azure Databricks.
- Clique no seu nome de utilizador na barra superior da área de trabalho do Azure Databricks e selecione Definições.
- Clique na guia Identidade e acesso .
- Ao lado de Grupos, clique em Gerenciar.
- Selecione o grupo e clique em x Excluir
- Clique em Excluir para confirmar.
Gerenciar funções em um grupo
Os administradores de conta podem conceder funções em grupos no console de conta e o administrador de espaço de trabalho pode gerenciar funções de grupo usando a página Configurações de administração de espaço de trabalho. Os gerentes de grupo que não são administradores de espaço de trabalho podem gerenciar funções de grupo usando a API de Controle de Acesso à Conta.
Console da conta
- Como administrador de conta, inicie sessão na consola da conta.
- Na barra lateral, clique em Gerenciamento de usuários.
- Na guia Grupos , localize e clique no nome do grupo.
- Clique na guia Permissões .
- Clique em Conceder acesso.
- Procure e selecione o usuário, entidade de serviço ou grupo e escolha a função Grupo: Gerente .
- Clique em Salvar.
Configurações de administração do espaço de trabalho
Não é possível atribuir funções a grupos locais de espaço de trabalho ou grupos de sistema em grupos de contas.
- Como administrador do espaço de trabalho, faça logon no espaço de trabalho do Azure Databricks.
- Clique no seu nome de utilizador na barra superior da área de trabalho do Azure Databricks e selecione Definições.
- Clique na guia Identidade e acesso .
- Ao lado de Grupos, clique em Gerenciar.
- Selecione o grupo que deseja atualizar. Você deve ter a função de gerente de grupo no grupo para atualizá-lo.
- Clique na guia Permissões .
- Clique em Conceder acesso.
- Procure e selecione o usuário, entidade de serviço ou grupo e escolha a função Grupo: Gerente .
- Clique em Salvar.
Atribuir funções de administrador de conta a um grupo
Não é possível atribuir as funções de administrador de conta a um grupo usando o console de conta, mas é possível atribuí-las a grupos usando a API de Grupos de Conta. Por exemplo:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "add",
"path": "roles",
"value": [
{
"value": "account_admin"
}
]
}
]
}
Para obter informações sobre como autenticar na API de Grupos de Contas, consulte Autorizar acesso aos recursos do Azure Databricks.
Ver grupos pais
- Como administrador do espaço de trabalho, faça logon no espaço de trabalho do Azure Databricks.
- Clique no seu nome de utilizador na barra superior da área de trabalho do Azure Databricks e selecione Definições.
- Clique no separador Identidade e acesso.
- Ao lado de Grupos, clique em Gerenciar.
- Selecione o grupo que deseja visualizar.
- Na guia Grupo pai, visualize os grupos pai do seu grupo.
Remover grupos da sua conta do Azure Databricks
Os administradores de conta podem remover grupos de uma conta do Azure Databricks. Os gerentes de grupo também podem remover grupos da conta usando a API de Grupos de Conta, consulte Gerenciar grupos usando a API. Se você remover um grupo usando o console de conta, deverá garantir que também remova o grupo usando quaisquer conectores de provisionamento SCIM ou aplicativos de API SCIM que tenham sido configurados para a conta. Se não o fizer, o provisionamento SCIM irá simplesmente adicionar novamente o grupo e os seus membros na próxima vez que sincronizar. Veja Sincronizar utilizadores e grupos do Microsoft Entra ID usando SCIM.
Important
Quando você remove um grupo, todos os usuários desse grupo são excluídos da conta e perdem o acesso a quaisquer espaços de trabalho aos quais tiveram acesso (a menos que sejam membros de outro grupo ou tenham recebido acesso direto à conta ou a quaisquer espaços de trabalho). O Databricks recomenda que você se abstenha de excluir grupos no nível da conta, a menos que você queira que eles percam o acesso a todos os espaços de trabalho na conta. Esteja ciente das seguintes consequências da exclusão de usuários:
- Aplicativos ou scripts que usam os tokens gerados pelo usuário não podem mais acessar APIs do Databricks.
- Os trabalhos de propriedade do usuário falham.
- Clusters de propriedade do usuário param.
- As bibliotecas instaladas por esse usuário são inválidas e devem ser reinstaladas.
- Consultas ou painéis criados pelo usuário e compartilhados usando a credencial Executar como Proprietário devem ser atribuídos a um novo proprietário para evitar que o compartilhamento falhe.
Para remover um grupo usando o console da conta, faça o seguinte:
- Como administrador da conta, inicie sessão na consola da conta.
- Na barra lateral, clique em Gerenciamento de usuários.
- No separador Grupos, localize o grupo que pretende remover.
- Clique no menu kebab na extremidade direita da linha do usuário e selecione Excluir.
- Na caixa de diálogo de confirmação, clique em Confirmar exclusão.
Note
Quando o gerenciamento automático de identidades está habilitado, os grupos que estão no Microsoft Entra ID ficam visíveis no console da conta. Um grupo é mostrado como Inativo: nenhum uso se não tiver sido adicionado a um espaço de trabalho. Esses grupos não podem ser removidos da lista de grupos. Eles não contam nos limites do grupo.
Gerenciar grupos usando a API
Administradores de conta e administradores de espaço de trabalho e gerentes de grupo podem adicionar, excluir e gerenciar grupos na conta do Azure Databricks usando a API de Grupos de Conta. Os administradores de conta, os administradores de espaço de trabalho e os gerentes de grupo devem invocar a API usando uma URL de ponto de extremidade diferente:
- Os administradores de conta usam
{account-domain}/api/2.1/accounts/{account_id}/scim/v2/. - Os administradores de espaço de trabalho e os gerentes de grupo usam
{workspace-domain}/api/2.0/account/scim/v2/.
Para obter detalhes, consulte a API de Grupos de Contas.
Os administradores de contas e espaços de trabalho podem usar a API de Atribuição de Espaços de Trabalho para atribuir grupos aos espaços de trabalho. A API de Atribuição de Espaço de Trabalho tem suporte por meio da conta e dos espaços de trabalho do Azure Databricks.
- Os administradores de conta usam
{account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments. - Os administradores do espaço de trabalho usam
{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.
Consulte API de atribuição de espaço de trabalho.
Gerenciar funções para um grupo usando a API
Os gerentes de grupos podem gerenciar funções de grupo usando a API de Controle de Acesso de Contas. Os administradores de conta, os administradores de espaço de trabalho e os gerentes de grupo devem invocar a API usando uma URL de ponto de extremidade diferente:
- Os administradores de conta usam
{account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles. - Os administradores de espaço de trabalho e os gerentes de grupo usam
{workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles.
Consulte a API de Controle de Acesso à Conta e a API de Proxy do Espaço de Trabalho de Controle de Acesso a Contas.
Exemplos de API para gerenciar grupos
Os exemplos a seguir mostram como os administradores de espaço de trabalho podem usar a API de Grupos de Contas e a API de Atribuição de Espaço de Trabalho para gerenciar grupos. Os administradores do espaço de trabalho se autenticam em seu espaço de trabalho usando um token de API.
Criar um grupo de contas
curl --request POST \
--location '{workspace-domain}/api/2.0/account/scim/v2/Groups' \
--header 'Authorization: Bearer $OAUTH_TOKEN' \
--header 'Content-Type: application/json' \
--data '{
"displayName": "<group-name>"
}'
Isso retorna uma ID de grupo para o novo grupo de contas. Salve-o para referência nos seguintes exemplos de API.
Adicionar um grupo à sua área de trabalho
O exemplo a seguir adiciona um grupo ao seu espaço de trabalho com permissões de usuário do espaço de trabalho. Você também pode definir permissions como ["ADMIN"] para conceder ao grupo a função de administrador do espaço de trabalho.
curl --location --request PUT '{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group-id}' \
--header 'Authorization: Bearer $OAUTH_TOKEN' \
--header 'Content-Type: application/json' \
--data '{
"permissions": ["USER"]
}'
Remover um grupo da área de trabalho
O exemplo a seguir remove um grupo do espaço de trabalho. Remover um grupo do seu espaço de trabalho não exclui o grupo da conta.
Note
Não pode remover grupos que sejam atribuídos indiretamente ao espaço de trabalho através da pertença a outro grupo. Para remover estes grupos, deve removê-los do grupo principal ou removê-los ao nível da conta.
curl --location --request PUT '{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group-id}' \
--header 'Authorization: Bearer $OAUTH_TOKEN' \
--header 'Content-Type: application/json' \
--data '{
"permissions": []
}'
Adicionar um membro a um grupo
curl --location --request PATCH '{workspace-domain}/api/2.0/account/scim/v2/Groups/{group-id}' \
--header 'Authorization: Bearer $OAUTH_TOKEN' \
--header 'Content-Type: application/json' \
--data '{
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:PatchOp"
],
"Operations": [
{
"op": "add",
"value": {
"members": [
{
"value": "{user-id}"
}
]
}
}
]
}'