Condividi tramite

Guida all'amministrazione di intelligenza artificiale/BI

Questo articolo descrive gli account e i controlli amministrativi a livello di area di lavoro che possono essere applicati ai prodotti di intelligenza artificiale/BI.

Gestire il dashboard e l'accesso Genie

Agli utenti vengono concessi diritti a livello di area di lavoro che controllano come interagiscono con l'area di lavoro di Azure Databricks. Per informazioni dettagliate su ogni tipo di accesso, vedere Gestire i diritti .

I dashboard e gli spazi genie possono essere condivisi in modo sicuro con i tipi di utente seguenti:

  • Utenti dell'area di lavoro: le autorizzazioni hanno come ambito l'area di lavoro in cui sono membri. Per accedere a più aree di lavoro, è necessario aggiungerle singolarmente a ogni area di lavoro. L'accesso è controllato dai diritti che determinano come interagiscono con gli asset di dati.
    • Con il diritto di accesso SQL di Databricks: gli utenti possono creare nuovi dashboard e spazi Genie. L'accesso può essere concesso per visualizzare, modificare e gestire i dashboard in bozza e pubblicati. È possibile concedere l'accesso alle risorse di calcolo e ai dati regolamentati del Catalogo Unity.
    • Con il diritto di accesso dei consumatori: agli utenti può essere concesso l'accesso ai dashboard pubblicati. È possibile concedere l'accesso alle risorse di calcolo e ai dati regolamentati del Catalogo Unity. Per altre informazioni, vedere Che cos'è l'accesso degli utenti?.
  • Utenti dell'account: Possono essere concessi l'accesso ai dashboard pubblicati con credenziali integrate. Gli utenti dell'account devono essere registrati nell'account Azure Databricks, ma non devono accedere ad alcuna risorsa aggiuntiva o per essere aggiunti a un'area di lavoro. Gli utenti dell'account possono essere assegnati come destinatari per dashboard o spazi Genie in qualunque area di lavoro dell'account. Per altre informazioni sui dashboard pubblicati e sulle credenziali incorporate, vedere Condividere un dashboard .

Vedere Gestire i diritti.

Funzionalità in base al tipo di accesso

La tabella seguente riepiloga le funzionalità associate a ogni tipo di accesso:

Capacità Accesso ai membri dell'account Accesso al consumatore Accesso a Databricks di SQL
Visualizzare o eseguire le dashboard
Visualizza/esegui spazi Genie
Applicare la sicurezza a livello di riga e colonna nella visualizzazione
Eseguire query su SQL Warehouse con gli strumenti di business intelligence
Accedere ai dati regolati da Unity Catalog tramite strumenti di business intelligence di terze parti
Dashboard di lettura/scrittura per intelligenza artificiale/business intelligence
Spazi Genie di lettura/scrittura

Annotazioni

Per consentire agli utenti dell'account di visualizzare i dati del dashboard, i dashboard devono essere pubblicati con credenziali incorporate.

Considerazioni per la rete

Se gli elenchi di accesso IP sono configurati, i dashboard sono accessibili solo se gli utenti accedono dall'intervallo IP approvato, ad esempio quando si usa una VPN. Questo vale per tutti gli utenti, indipendentemente dal fatto che siano assegnati a un'area di lavoro. Per altre informazioni sulla configurazione dell'accesso, vedere Gestire gli elenchi di accesso IP.

Gestione utenti e gruppi

Tutti gli utenti registrati con Azure Databricks appartengono all'account Azure Databricks. La registrazione di un utente in un account Azure Databricks stabilisce un'identità verificabile che Azure Databricks può usare per l'autenticazione quando l'utente visualizza un dashboard condiviso o uno spazio Genie. L'organizzazione di singoli utenti in gruppi può semplificare la condivisione per autori e editor. Ad esempio, un autore può condividere con un singolo gruppo denominato anziché condividerlo con ogni utente nell'account.

Annotazioni

Gli utenti devono avere i dati e i privilegi di calcolo appropriati per interagire con uno spazio Genie, che può essere concesso solo agli utenti dell'area di lavoro.

Gli utenti possono anche condividere dashboard con qualsiasi utente, entità servizio o gruppo in Microsoft Entra ID usando la gestione automatica delle identità (anteprima pubblica). Dopo l'accesso, questi utenti vengono aggiunti automaticamente all'account Azure Databricks. Non vengono aggiunti all'area di lavoro di origine del dashboard. Per altre informazioni, vedere Sincronizzare automaticamente utenti e gruppi da Microsoft Entra ID.

Gli utenti e i gruppi possono avere accesso a zero, uno o più aree di lavoro. Gli autori possono aggiungere utenti e gruppi a un elenco Persone con accesso per assegnare autorizzazioni specifiche, come con altri oggetti dell'area di lavoro, quando si condivide un dashboard o uno spazio Genie.

Per i dashboard, possono configurare le impostazioni di condivisione con una delle opzioni seguenti:

  • Solo gli utenti con accesso possono visualizzare
  • Chiunque nel mio account può visualizzare

Se un dashboard viene pubblicato con credenziali incorporate e condiviso con un utente, un gruppo o tutti gli utenti nell'account, gli utenti possono accedervi indipendentemente dal fatto che abbiano accesso all'area di lavoro di origine.

L'immagine seguente mostra la relazione tra utenti e gruppi a livello di area di lavoro e account.

Diagramma SCIM a livello di account con condivisione del dashboard

Non è necessaria alcuna configurazione aggiuntiva oltre la registrazione dell'account. Gli utenti non devono essere assegnati a un'area di lavoro o hanno fornito l'accesso alle risorse di calcolo.

Gestire l'incorporamento del dashboard

L'inclusione consente agli utenti del dashboard con almeno le autorizzazioni CAN EDIT di generare il codice di inclusione iframe utilizzando la finestra di dialogo Condividi. Gli amministratori dell'area di lavoro possono gestire quali domini, se presenti, vengono approvati per l'hosting di un dashboard incorporato. L'incorporamento del dashboard richiede che gli utenti dispongano di cookie di terze parti abilitati.

Le impostazioni di amministrazione dell'area di lavoro sono aperte all'intestazione Incorpora dashboard.

Per impostare un criterio che definisce i domini in cui è possibile incorporare i dashboard, eseguire le operazioni seguenti:

  1. Fare clic sul nome utente nella barra superiore dell'area di lavoro di Azure Databricks e selezionare Impostazioni.

  2. Fare clic su Sicurezza.

  3. Scorrere verso il basso fino alla sezione Accesso esterno .

  4. Nella sezione Incorpora dashboard usare il menu a discesa per impostare i criteri per l'area di lavoro.

    Le opzioni di criteri disponibili sono tre:

    • Consenti: i dashboard possono essere incorporati in qualsiasi dominio.
    • Consenti domini approvati: i dashboard possono essere incorporati solo nei siti che corrispondono all'elenco approvato.
    • Nega: i dashboard non possono essere incorporati in alcun dominio.

Se si seleziona Consenti domini approvati, è possibile usare questa sezione per gestire l'elenco di domini approvati eseguendo le operazioni seguenti:

  1. Fare clic su Gestisci accanto a Incorpora dashboard.
  2. Digitare un dominio nel campo di testo della finestra di dialogo Dominio approvato . Fare clic su Aggiungi dominio dopo ogni voce.
  3. Fare clic su Salva.

Annotazioni

Per incorporare il dashboard in un sito Google, è necessario consentire più domini di proprietà e usati da Google, oltre all'indirizzo associato al sito specifico. I siti necessari sono:

  • sites.google.com
  • www.gstatic.com
  • *.googleusercontent.com

Suggerimenti per la definizione di domini e route approvati

Per specificare gli host consentiti, usare la grammatica definita nella documentazione relativa ai criteri di sicurezza del contenuto di W3C. Gli esempi in questa sezione illustrano alcuni modelli comuni.

Consenti sottodomini

Per consentire tutti i sottodomini per un determinato dominio, usare un simbolo jolly (*) prima del nome di dominio. Gli esempi seguenti usano *.databricks.com come dominio di esempio.

  • Corrisponde: Qualsiasi Sottodominio
    • some.databricks.com
    • app.databricks.com
    • anything.databricks.com
  • Non corrisponde a: Qualsiasi elemento con un dominio diverso.
    • another-databricks.com
    • app-databricks.com

Consenti percorsi URL specifici

Per consentire a tutte le pagine sotto un URL di base, usare una barra obliqua finale (/) per rappresentare la directory radice. Le sottodirectory e i percorsi aggiuntivi corrisponderanno.

Gli esempi seguenti usano sites.google.com/some/path/ come percorso fornito di esempio.

  • Corrispondenze:sites.google.com/some/path/to/my/dashboard e sites.google.com/some/path/any-page.
  • Non corrisponde a:
    • sites.google.com/some/path. In questo esempio manca la barra finale, quindi l'URL è diverso.
    • sites.google.com/some/other/path/to/my/dashboard. Questo esempio non condivide lo stesso percorso di base.

Annotazioni

Un URL senza una barra finale viene considerato come una corrispondenza esatta e omette i sottopercorso.

Controlli delle sottoscrizioni dell'amministratore dell'area di lavoro

Gli amministratori dell'area di lavoro possono impedire agli utenti di distribuire dashboard usando sottoscrizioni. La modifica di questa impostazione impedisce a tutti gli utenti di aggiungere sottoscrittori di posta elettronica ai dashboard pianificati. Gli editor di dashboard non possono aggiungere sottoscrittori e i visualizzatori del dashboard non hanno la possibilità di sottoscrivere un dashboard pianificato.

Per impedire la condivisione degli aggiornamenti della posta elettronica:

  1. Fare clic sul nome utente nella barra superiore dell'area di lavoro di Azure Databricks e selezionare Impostazioni.
  2. Nella barra laterale Impostazioni fare clic su Notifiche.
  3. Disattivare l'opzione Abilita sottoscrizioni di posta elettronica del dashboard .

Se questa impostazione è disattivata, le sottoscrizioni esistenti vengono sospese e nessuno può modificare gli elenchi di sottoscrizioni esistenti. Se questa impostazione viene riattivata, le sottoscrizioni riprendono usando l'elenco esistente.

Scaricare i controlli

Gli amministratori dell'area di lavoro possono modificare le impostazioni di sicurezza per impedire agli utenti di scaricare il dashboard e i risultati dello spazio Genie attenendosi alla procedura seguente:

  1. Fare clic sul nome utente nella barra superiore dell'area di lavoro di Azure Databricks e selezionare Impostazioni.
  2. Nella barra laterale Impostazioni fare clic su Sicurezza.
  3. Disattivare l'opzione di download dei risultati SQL .

Trasferire la proprietà di un dashboard

Gli amministratori dell'area di lavoro possono trasferire la proprietà di un dashboard a un utente diverso.

  1. Vai all'elenco delle dashboard. Fare clic sul nome di un dashboard da modificare.
  2. Fare clic su Condividi.
  3. Fare clic sull'icona a forma di ingranaggio. In alto a destra della finestra di dialogo Condivisione . Finestra di dialogo Condividi con l'icona a forma di ingranaggio
  4. Iniziare a digitare un nome utente per cercare e selezionare il nuovo proprietario.
  5. Cliccare Conferma.

Il nuovo proprietario viene visualizzato nella finestra di dialogo Condivisione con Autorizzazioni di gestione . Per visualizzare i dashboard elencati per proprietario, passare all'elenco dei dashboard disponibili facendo clic su Icona DashboardDashboard.

Monitorare l'attività di intelligenza artificiale/BI

Gli amministratori possono monitorare l'attività nei dashboard e negli spazi Genie usando i log di controllo. Guarda gli eventi del dashboard di Intelligenza Artificiale/BI e gli eventi di Intelligenza Artificiale/BI Genie. Per esempi di codice che illustrano come accedere alle informazioni del log di controllo per rispondere a domande comuni, vedere Monitorare l'utilizzo di intelligenza artificiale/BI con log di controllo e avvisi.