ユーザー、サービス プリンシパル、グループを管理する

Databricks では、アカウントとワークスペース全体でユーザー、グループ、およびサービス プリンシパルの一元的な ID 管理が提供されます。 Azure Databricks での ID 管理を使用すると、ID プロバイダーから ID を同期するための柔軟なオプションを使用して、ワークスペース、データ、コンピューティング リソースにアクセスできるユーザーを制御できます。

Azure Databricks で ID を最適に構成する方法については、ID のベスト プラクティスに関する記事を参照してください。

ユーザー、サービス プリンシパル、およびグループのアクセスを管理するには、「認証とアクセス制御」を参照してください。

Azure Databricks の ID

Databricks では、認証とアクセス制御用に次の 3 種類の ID がサポートされています。

IDの種類	Description
ユーザー	Azure Databricks によって認識され、電子メール アドレスで表されるユーザー ID。
サービス プリンシパル	ジョブ、自動化されたツール、およびスクリプト、アプリ、CI/CD プラットフォームなどのシステムで使用するための ID。
グループ	ワークスペース、データ、およびその他のセキュリティ保護可能なオブジェクトへのグループ アクセスを管理するために管理者が使用する ID のコレクション。 すべての Databricks ID は、グループのメンバーとして割り当てることができます。

1 つの Azure Databricks アカウントには、ユーザーとサービス プリンシパルの合計で最大 10,000 個と、最大 5,000 個のグループ含めることができます。 各ワークスペースには、ユーザーと、メンバーとしてのサービス プリンシパルの合計で最大 10,000 個と、最大 5,000 個のグループ含めることができます。

Azure Databricks で ID を管理できるロール

Azure Databricks で ID を管理するには、次のいずれかのロールが必要です。

Role	能力
アカウント管理者	アカウント内のユーザー、サービス プリンシパル、およびグループを追加、更新、削除します。 管理者ロールを割り当て、ユーザーにワークスペースへのアクセス権を付与します。 アカウント内のすべてのグループにはグループ マネージャー ロールを、すべてのサービス プリンシパルにはサービス プリンシパル マネージャー ロールを自動的に持ちます。
ワークスペース管理者	Azure Databricks アカウントにユーザー、サービス プリンシパル、およびグループを追加します。 アカウント内のユーザーまたはサービス プリンシパルを更新または削除できません。 ユーザー、サービス プリンシパル、およびグループにワークスペースへのアクセス権を付与します。 従来の ワークスペースローカル グループを管理します。 作成したグループに対するグループ マネージャー ロールと、作成するサービス プリンシパルに対するサービス プリンシパル マネージャーの役割を自動的に持つ。
グループ マネージャー	グループ メンバーシップを管理し、グループを削除します。 グループ マネージャー ロールを他のユーザーに割り当てます。
サービス プリンシパル マネージャー	サービス プリンシパルのロールを追加、更新、および削除します。

最初のアカウント管理者を確立するには、「 最初のアカウント管理者を確立する」を参照してください。

ID 管理ワークフロー

注

ほとんどのワークスペースでは、既定で ID フェデレーションが有効になっています。 ID フェデレーションを使用すると、アカウント レベルで一元的に ID を管理し、ワークスペースに割り当てることができます。 このページでは、ワークスペースで ID フェデレーションが有効になっていることを前提としています。 ID フェデレーションのないレガシ ワークスペースがある場合は、「ID フェデレーション のないレガシ ワークスペース」を参照してください。

アイデンティティ・フェデレーション

Databricks は、2023 年 11 月 9 日に自動的に ID フェデレーションと Unity カタログの新しいワークスペースを有効にし始めました。 既定で ID フェデレーションが有効になっているワークスペースでは無効にできません。 詳細については、「Unity Catalog の自動有効化」を参照してください。

ID フェデレーション ワークスペースでは、ワークスペース管理者設定でユーザー、サービス プリンシパル、またはグループを追加するときに、アカウントに存在する ID から選択できます。 非 ID フェデレーション ワークスペースでは、アカウントからユーザー、サービス プリンシパル、またはグループを追加するオプションはありません。

ワークスペースで ID フェデレーションが有効になっているかどうかを確認するには、アカウント コンソールのワークスペース ページで [ID フェデレーション: 有効] を探します。 古いワークスペースの ID フェデレーションを有効にするには、アカウント管理者が Unity カタログメタストアを割り当てることで Unity カタログのワークスペースを有効にする必要があります。 「Unity Catalog のワークスペースを有効にする」を参照してください。

ID プロバイダーからの ID を同期する

Databricks では、自動 ID 管理を使用して Microsoft Entra ID から Azure Databricks に ID を同期することをお勧めします。 自動 ID 管理は、2025 年 8 月 1 日以降に作成されたアカウントに対して既定で有効になっています。

自動 ID 管理を使用すると、ワークスペース管理者設定で Microsoft Entra ID ユーザー、サービス プリンシパル、グループを直接検索し、ワークスペースと Azure Databricks アカウントに追加できます。 Databricks は Microsoft Entra ID をレコードのソースとして使用するため、ユーザーまたはグループ メンバーシップに対する変更は Azure Databricks で尊重されます。 詳細な手順については、「Microsoft Entra IDからユーザーとグループを自動的に同期する」を参照してください。

ワークスペースに ID を割り当てる

ユーザー、サービス プリンシパル、またはグループが Azure Databricks ワークスペースで動作できるようにするには、アカウント管理者またはワークスペース管理者がワークスペースに割り当てます。 アカウントに存在する任意のユーザー、サービス プリンシパル、またはグループにワークスペース アクセスを割り当てることができます。

ワークスペース管理者は、新しいユーザー、サービス プリンシパル、またはグループをワークスペースに直接追加することもできます。 このアクションにより、アカウントに ID が自動的に追加され、そのワークスペースに割り当てられます。

詳しい手順については、以下を参照してください。

• ワークスペースにユーザーを追加する
• ワークスペースにサービス プリンシパルを追加する
• ワークスペースにグループを追加する

アカウント ユーザーとダッシュボードを共有する

ユーザーは、発行済みのダッシュボードを Azure Databricks アカウントの他のユーザーと共有できます。ユーザーがワークスペースのメンバーでない場合でも可能です。 ユーザーは、自動 ID 管理を使用して、Microsoft Entra ID 内の任意のユーザーとダッシュボードを共有できます。このユーザーは、ログイン時に Azure Databricks アカウントに追加されます。 ワークスペースのメンバーではない Azure Databricks アカウントのユーザーは、他のツールの閲覧限定ユーザーと同等です。 自分と共有されているオブジェクトは閲覧できますが、オブジェクトを変更することはできません。 Azure Databricks アカウントのユーザーは、ワークスペース、データ、またはコンピューティング リソースへの既定のアクセス権を持っていません。 詳細については、「 ユーザーとグループの管理」を参照してください。

Authentication

シングル サインオン (SSO)

Microsoft Entra ID に基づくログインの形式のシングル サインオン (SSO) は、アカウント コンソールとワークスペースの両方について、既定ですべての顧客に対して Azure Databricks で使用できます。 「 Microsoft Entra ID を使用したSingle サインオンを参照してください。

ジャストインタイムプロビジョニング

Just-In-Time (JIT) プロビジョニングを構成して、最初のログイン時に Microsoft Entra ID から新しいユーザー アカウントを自動的に作成できます。 「 ユーザーの自動プロビジョニング (JIT)」を参照してください。

アクセス制御

管理者は、ユーザー、サービス プリンシパル、グループにロール、権利、アクセス許可を割り当てて、ワークスペース、データ、およびその他のセキュリティ保護可能なオブジェクトへのアクセスを制御できます。 詳しくは、「アクセス制御の概要」をご覧ください。

ID フェデレーションのないレガシ ワークスペース

ID フェデレーションが有効になっていないワークスペースの場合、ワークスペース管理者はワークスペースのユーザー、サービス プリンシパル、およびグループをワークスペースのスコープ内で完全に管理します。 非 ID フェデレーション ワークスペースに追加されたユーザーとサービス プリンシパルは、アカウントに自動的に追加されます。 ワークスペース ユーザーが、既に存在するアカウント ユーザーまたは管理者とユーザー名 (つまり、メール アドレス) を共有している場合、それらのユーザーは 1 つの ID にマージされます。 非 ID フェデレーション ワークスペースに追加されるグループはレガシ ワークスペース ローカル グループであり、アカウントには追加されません。

レガシ ワークスペースの ID フェデレーションを有効にするには、「 ID フェデレーション」を参照してください。

その他のリソース

• ID 管理のベスト プラクティス - Azure Databricks での ID の構成に関する意見に基づくガイダンス
• ユーザー - ユーザー ID の管理
• サービス プリンシパル - サービス プリンシパル ID の管理
• グループ - グループ ID の管理
• アクセス制御 - アクセス許可とアクセスの管理
• SCIM プロビジョニング - ID プロバイダーからの ID を同期する
• ワークスペースローカルグループ - 従来のワークスペースローカルグループを管理する