このページでは、Azure Databricks のグループの概要について説明します。 グループを管理する方法については、「グループの 管理」を参照してください。
グループを使用すると、ワークスペースやデータなどのセキュリティ保護可能なオブジェクトへのアクセスを簡単に割り当てることができるようになり、ID 管理が簡素化されます。 すべての Databricks ID は、グループのメンバーとして割り当てることができます。
注
このページでは、ワークスペースで ID フェデレーションが有効になっていることを前提としています。これは、ほとんどのワークスペースの既定値です。 ID フェデレーションを使用しないレガシ ワークスペースの詳細については、「ID フェデレーション のないレガシ ワークスペース」を参照してください。
グループの情報源
Azure Databricks グループは、ソースに基づいて 4 つのカテゴリに分類されます。これは、グループの一覧の [ソース ] 列に表示されます
![[管理者設定] ページの [グループ] 一覧。](../../_static/images/identity/groups.png)
| 情報源 | 説明 |
|---|---|
| アカウント | Unity カタログ メタストア内のデータへのアクセス、サービス プリンシパルとグループに割り当てられたロール、ワークスペースへのアクセス許可を付与できます。 これらは、Azure Databricks アカウント全体のアクセスを管理するためのプライマリ グループです。 |
| エクスターナル | ID プロバイダーから Azure Databricks で作成されます。 これらのグループは、IdP (Microsoft Entra ID など) と同期します。 外部グループもアカウント グループと見なされます。 |
| システム | Azure Databricks によって作成および管理されます。 各アカウントには、すべてのユーザーとサービス プリンシパルを含む account users グループが含まれています。 各ワークスペースには、 users (すべてのワークスペース メンバー) と admins (ワークスペース管理者) の 2 つのシステム グループがあります。 システム グループを削除することはできません。 |
| ワークスペース | ワークスペース ローカル グループと呼ばれるこれらのグループは、作成されたワークスペース内でのみ使用されるレガシ グループです。 他のワークスペースに割り当てたり、Unity カタログ データへのアクセスを許可したり、アカウント レベルのロールを割り当てることはできません。 Databricks では、より広範な機能を実現するために、ワークスペースローカル グループをアカウント グループに変換することをお勧めします。 |
自動 ID 管理を有効にすると、Microsoft Entra ID のグループがアカウント コンソールとワークスペース管理者設定ページに表示されます。 その状態は、Microsoft Entra ID と Azure Databricks の間のアクティビティと状態を反映します。 「ユーザーとグループの状態」を参照してください。
グループを管理できるのは誰ですか?
Azure Databricks でグループを作成するには、次のいずれかである必要があります。
- アカウント管理者
- ワークスペース管理者
Azure Databricks でグループを管理するには、 グループに対するグループ マネージャー ロール (パブリック プレビュー) が必要です。 このロールを使用すると、次のことができます。
- グループ メンバーシップを管理する
- グループを削除する
- グループ マネージャー ロールを他のユーザーに割り当てる
既定の設定:
- アカウント管理者は、すべてのグループのグループ マネージャー ロールを自動的に持ちます。
- ワークスペース管理者は、作成するグループに対するグループ マネージャー ロールを自動的に持ちます。
グループ マネージャーの役割は、次の方法で構成できます。
- アカウント管理者(アカウント コンソールを使用)
- ワークスペース管理者 (ワークスペース管理者設定ページを使用)
- アカウント アクセス制御 API を使用する管理者以外のグループ マネージャー
ワークスペース管理者は、従来の ワークスペースローカル グループを作成および管理することもできます。
Microsoft Entra ID から Azure Databricks アカウントにグループを同期する
Databricks では、Microsoft Entra ID から Azure Databricks アカウントにグループを同期することをお勧めします。
Microsoft Entra ID から、または SCIM プロビジョニング コネクタを使用して、グループを自動的に同期できます。
自動 ID 管理 を使用すると、Microsoft Entra ID でアプリケーションを構成することなく、Microsoft Entra ID のユーザー、サービス プリンシパル、およびグループを Azure Databricks に追加できます。 Databricks は Microsoft Entra ID をレコードのソースとして使用するため、ユーザーまたはグループ メンバーシップに対する変更は Azure Databricks で尊重されます。 自動 ID 管理では、入れ子になったグループがサポートされます。 自動 ID 管理は、2025 年 8 月 1 日以降に作成されたアカウントに対して既定で有効になっています。 詳細については、「 Microsoft Entra ID からユーザーとグループを自動的に同期する」を参照してください。
SCIM プロビジョニング を使用すると、Microsoft Entra ID でエンタープライズ アプリケーションを構成して、ユーザーとグループを Microsoft Entra ID と同期させ続けることができます。 SCIM プロビジョニングでは、入れ子になったグループはサポートされません。 手順については、「 SCIM を使用して Microsoft Entra ID のユーザーとグループを同期する」を参照してください。