Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Auf dieser Seite wird beschrieben, wie Kontoadministratoren eine Einstellung auf Kontoebene verwenden können, um zu verhindern, dass interne Anmeldeinformationen automatisch für Azure Databricks-Arbeitsbereichsadministratoren auf gemeinsam genutzten Clustern ohne Isolation generiert werden.
Hinweis
Arbeitsbereichsadministratoren können die Einstellung "Benutzerisolation erzwingen" verwenden, um die Nutzung von nicht-isolierten freigegebenen Clustern in einem Arbeitsbereich zu unterbinden.
Kontoadministratoren können freigegebene Cluster ohne Isolierung in allen neuen Arbeitsbereichen mithilfe der Einstellung "Legacyfeatures deaktivieren" deaktivieren.
Der Administratorschutz für freigegebene No Isolation-Cluster in Ihrem Konto hilft, Administratorkonten davor zu schützen, interne Anmeldeinformationen preiszugeben, in einer mit anderen Benutzern geteilten Umgebung. Die Aktivierung dieser Einstellung kann sich auf Workloads auswirken, die von Administratoren ausgeführt werden. Informationen finden Sie unter Einschränkungen.
Was sind nicht isolierte freigegebene Cluster?
No Isolation Shared Cluster sind Rechenressourcen, die den älteren Zugriffsmodus No Isolation Shared verwenden.
„Keine Isolation“-Cluster führen beliebigen Code von mehreren Benutzern in derselben freigegebenen Umgebung aus, ähnlich wie auf einer virtuellen Maschine, die von mehreren Benutzern gemeinsam genutzt wird. Daten oder interne Anmeldeinformationen, die für diese Umgebung bereitgestellt werden, können für jeden Code, der in dieser Umgebung ausgeführt wird, zugänglich sein.
Um Azure Databricks-APIs für normale Vorgänge aufzurufen, werden Zugriffstoken im Auftrag von Benutzern für diese Cluster bereitgestellt. Wenn ein Benutzer mit höheren Rechten, z. B. ein Arbeitsbereichsadministrator, Befehle auf einem Cluster ausführt, ist dessen Token mit höheren Rechten in derselben Umgebung sichtbar.
Aktivieren der Einstellung für den Administratorschutz auf Kontoebene
Informationen dazu, welche Cluster in einem Arbeitsbereich von dieser Einstellung betroffen sind, finden Sie unter "Alle Ihre nicht isolierten freigegebenen Cluster finden (einschließlich gleichwertiger Legacy-Clustermodi)".
Melden Sie sich als Kontoadministrator bei der Kontokonsole an.
Wichtig
Wenn sich keine Benutzer in Ihrem Microsoft Entra ID-Mandanten bei der Kontokonsole angemeldet haben, müssen Sie oder ein anderer Benutzer in Ihrem Mandanten sich als erster Kontoadministrator anmelden. Dazu müssen Sie ein globaler Microsoft Entra ID-Administrator sein, aber nur, wenn Sie sich zum ersten Mal bei der Azure Databricks-Kontokonsole anmelden. Bei der ersten Anmeldung werden Sie zu einem Azure Databricks-Kontoadministrator und benötigt nicht mehr die Rolle „Globaler Microsoft Entra ID-Administrator“, um auf das Azure Databricks-Konto zuzugreifen. Als erster Kontoadministrator können Sie Benutzern im Microsoft Entra-ID-Mandanten die Rolle weiterer Kontoadministratoren zuweisen (die wiederum selbst mehr Kontoadministratoren zuweisen können). Für zusätzliche Kontoadministratoren sind keine speziellen Rollen in Microsoft Entra ID erforderlich. Siehe Verwalten von Benutzern, Dienstprinzipalen und Gruppen.
Klicken Sie auf Einstellungen
.Klicken Sie auf die Registerkarte Featureaktivierung.
Klicken Sie unter Administratorschutz für „Keine freigegebene Isolation“-Cluster auf die Einstellung, um diese Funktion zu aktivieren oder zu deaktivieren.
- Wenn das Feature aktiviert ist, verhindert Azure Databricks die automatische Generierung interner Databricks-API-Anmeldeinformationen für Databricks-Arbeitsbereichsadministratoren in nicht isolierten freigegebenen Clustern.
- Es kann bis zu zwei Minuten dauern, bis Änderungen in allen Arbeitsbereichen wirksam werden.
Einschränkungen
Wenn sie ohne freigegebene Isolationscluster oder die entsprechenden Legacyclustermodi verwendet werden, funktionieren die folgenden Azure Databricks-Features nicht, wenn Sie den Administratorschutz für keine freigegebenen Isolationscluster in Ihrem Konto aktivieren:
- Machine Learning Runtime-Workloads.
- Arbeitsbereichsdateien.
- dbutils Secrets-Hilfsprogramm.
- dbutils-Hilfsprogramm für Notebooks.
- Delta Lake-Vorgänge durch Administratoren, die Daten erstellen, ändern oder aktualisieren
Andere Features funktionieren möglicherweise auch nicht für Administratorbenutzer in diesem Clustertyp, weil diese Features auf automatisch generierten internen Anmeldeinformationen basieren.
In diesen Fällen empfiehlt Azure Databricks, dass Administratoren eine der folgenden Aktionen ausführen:
- Verwenden Sie einen anderen Clustertyp als "Ohne Isolation - gemeinsam genutzt" oder die gleichwertigen veralteten Clustertypen.
- Erstellen Sie einen Nicht-Administratorbenutzer, wenn Sie gemeinsam genutzte Cluster ohne Isolation verwenden.
Finden Sie alle gemeinsamen nicht-isolierten Cluster (einschließlich gleichwertiger Legacy-Cluster-Modi)
Sie können bestimmen, welche Cluster in einem Arbeitsbereich von dieser Einstellung auf Kontoebene betroffen sind.
Importieren Sie das folgende Notebook in alle Ihre Arbeitsbereiche und führen Sie das Notebook aus.