本頁說明可套用於 AI/BI 產品的帳戶及工作區層級管理控制。
管理儀錶板和 Genie 存取權限
使用者會被授與工作區層級的權利,以控制他們與 Azure Databricks 工作區的互動方式。 如需每個存取類型的詳細資訊 ,請參閱管理權利 。
儀表板和 Genie 空間可以與以下使用者類型安全地共用:
-
工作區用戶:許可權的範圍會限定於其為成員的工作區。 若要存取多個工作區,必須將這些工作區個別新增至每個工作區。 其存取權是由決定其與數據資產互動方式的權利所控制。
- 使用 Databricks SQL 存取:使用者可以建立新的儀錶板和 Genie 空間。 您可以授與存取權,以檢視、編輯及管理草稿和已發佈的儀錶板。 您可以授與存取權,以便訪問受到計算資源和 Unity Catalog 管控的資料。
- 使用 消費者存取 權限:用戶可以獲得已發佈儀表板的訪問權限。 您可以授與存取權,以便訪問受到計算資源和 Unity Catalog 管控的資料。 若要深入瞭解,請參閱 什麼是取用者存取?。
- 帳戶使用者:可以授予具有共用資料權限的已發佈儀表板的存取權。 帳戶用戶必須註冊到您的 Azure Databricks 帳戶,但他們不需要存取任何其他資源或新增至工作區。 帳戶中的使用者可以被指派為任何工作區儀錶板或 Genie 空間的收件者。 請參閱 共用儀表板 ,以進一步了解已發佈的儀表板和共用資料權限。
若要將新使用者的預設工作區存取權限改為消費者存取,請參見 將預設工作區存取權改為消費者存取。 欲了解更多關於權利的資訊,請參閱 管理權利。
依存取類型的功能
下表摘要說明與每個存取類型相關聯的功能:
| 能力 | 帳戶成員存取 | 消費者存取 | Databricks SQL 存取權 |
|---|---|---|---|
| 檢視/執行資訊面板 | ✓ | ✓ | ✓ |
| 檢視/執行 Genie 區域 | ✓ | ✓ | |
| 在檢視上強制執行數據列和數據行層級安全性 | ✓ | ✓ | |
| 使用 BI 工具查詢 SQL 倉儲 | ✓ | ✓ | |
| 透過第三方 BI 工具存取 Unity 目錄控管的數據 | ✓ | ||
| 讀取/寫入 AI/BI 儀錶板 | ✓ | ||
| 讀取/寫入 Genie 空格 | ✓ |
備註
帳號使用者可查看以共享或個別資料權限發布的儀表板。 然而,帳號使用者無法存取綁定工作區的可保護項目,例如綁定工作區的目錄。
網路考量
如果已設定IP存取清單,則只有在使用者從核准的IP範圍內存取它們時,才能存取儀表板,例如使用 VPN 時。 這適用於所有使用者,無論他們是否指派給工作區。 如需設定存取權的詳細資訊,請參閱 管理IP存取清單。
使用者和群組管理
向 Azure Databricks 註冊的所有使用者都屬於您的 Azure Databricks 帳戶。 在 Azure Databricks 帳戶中註冊用戶會建立可驗證的身分識別,讓 Azure Databricks 可在該用戶檢視共用儀錶板或 Genie 空間時用於驗證。 將個別用戶組織成群組,可讓作者和編輯器更容易共用。 例如,作者可以與單一具名群組共用,而不是與帳戶中的每個使用者共用。
備註
用戶必須擁有適當的數據和計算許可權,才能與 Genie 空間互動,而 Genie 空間只能授與工作區使用者。
使用者也可以使用自動身分識別管理,與 Microsoft Entra ID 中的任何使用者、服務主體或群組共用儀錶板。 共享時,那些使用者、服務主體和群組成員會在登入時自動被加入 Azure Databricks 帳號。 這些項目不會新增至儀錶板的原始來源工作區。 預設情況下,自動身分管理會針對 2025 年 8 月 1 日之後建立的帳戶啟用。 如需詳細資訊,請參閱 從 Microsoft Entra ID 自動同步使用者和群組。
使用者和群組可以存取零、一或多個工作區。 作者可以在共用儀錶板或 Genie 空間時,將使用者和群組新增至 具有存取 權清單的人員,以指派特定許可權,如同其他工作區物件一樣。
針對儀錶板,他們可以使用下列其中一個選項來設定 共用設定 :
- 只有具有存取權的人員才能檢視
- 我的帳戶中的任何人都可以檢視
如果儀表板以共用資料許可權發佈,並與帳戶中的特定使用者、群組或所有使用者共用,則這些使用者可以存取它,無論他們是否有原始工作區的存取權。
下圖顯示工作區和帳戶層級的使用者和群組之間的關聯性。
除了帳戶註冊之外,不需要額外的設定。 使用者不需要指派給工作區,也不需要授與計算資源的存取權。
管理儀表板內嵌
使用者可以安全地將儀表板嵌入外部網站和應用程式中。 每個內嵌選項都需要工作區管理員來配置設定和權限。 若要瞭解如何管理內嵌設定,請參閱 管理儀表板內嵌。
工作區管理員訂用帳戶控件
工作區管理員可以防止使用者使用訂用帳戶散發儀表板。 變更此設定可防止所有使用者將電子郵件訂閱者新增至排程的儀表板。 儀表板編輯器無法新增訂閱者,而且儀表板查看器沒有訂閱排程儀表板的選項。
若要防止共用電子郵件更新:
- 按下 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [設定]。
- 在 [ 設定] 提要欄位中,按兩下 [ 通知]。
- 關閉 [ 啟用儀錶板電子郵件訂閱 ] 選項。
如果此設定關閉,則會暫停現有的訂用帳戶,而且沒有人可以修改現有的訂用帳戶清單。 如果重新開啟此設定,訂閱會使用現有清單繼續使用。
設定 Slack 或 Microsoft Teams 通知
儀表板編輯人員可以將 Slack 和 Microsoft Teams 頻道添加至排程的訂閱者中。 在用戶訂閱 Slack 或 Microsoft Teams 頻道到儀表板排程前,先以工作區管理員身份設定 Slack 或 Microsoft Teams 的通知目的地。
Slack 與 Teams 訂閱會提供儀表板快照,其中包括:
- 儀表板的PNG影像快照,可直接在頻道中顯示
- 在 Azure Databricks 中開啟儀錶板的直接連結
- 訊息討論串中的 PDF 快照附件
關於建立應用程式、設定 OAuth 權限及設定儀表板訂閱通知目的地的逐步說明,請參閱 設定 Slack 通知 以達成 Slack 目的地,及 設定 Microsoft Teams 通知 以達成 Microsoft Teams 目的地。
下載控制件
工作區管理員可以調整其安全性設定,以防止使用者使用下列步驟下載儀錶板和 Genie 空間結果:
- 按下 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [設定]。
- 在 [ 設定 ] 提要欄位中,按兩下 [ 安全性]。
- 關閉 SQL 結果下載 選項。
轉移儀表板的擁有權
工作區管理員可以將儀表板的擁有權轉移給不同的使用者。
- 移至儀錶板清單。 按一下儀表板名稱以進行編輯。
- 按一下 [分享]。
- 按一下
,位於共用對話框的右上方。
- 開始輸入使用者名稱以搜尋並選取新的擁有者。
- 按一下 [確認]。
新的擁有者會出現在 [共用] 對話方塊中,並具有 CAN MANAGE 權限。 若要查看由擁有者列出的儀錶板,請按一下
儀錶板,前往可用儀錶板的清單。
監視 AI/BI 活動
系統管理員可以使用稽核記錄來監視儀錶板和 Genie 空間上的活動。 請參閱 AI/BI 儀錶板事件 和 AI/BI Genie 事件。 如需示範如何存取稽核記錄資訊以回答常見問題的程式碼範例,請參閱 使用 稽核記錄和警示監視 AI/BI 使用量。