重要
この機能は パブリック プレビュー段階です。
この記事では、自動 ID 管理を使用して Microsoft Entra ID のユーザー、サービス プリンシパル、およびグループを同期するように Azure Databricks を構成する方法について説明します。
自動 ID 管理の概要
自動 ID 管理を使用すると、Microsoft Entra ID でアプリケーションを構成することなく、Microsoft Entra ID のユーザー、サービス プリンシパル、グループを Azure Databricks にシームレスに追加できます。 自動 ID 管理が有効になっている場合は、Microsoft Entra ID ユーザー、サービス プリンシパル、およびグループを ID フェデレーション ワークスペースで直接検索し、ワークスペースに追加できます。 Databricks はレコードのソースとして Microsoft Entra ID を使用するため、グループ メンバーシップに対する変更はすべて Azure Databricks で適用されます。
ワークスペース
Add MS Entra ID group from workspaceから MS Entra ID グループを追加
ユーザーは、Microsoft Entra ID の任意のユーザー、サービス プリンシパル、またはグループとダッシュボードを共有することもできます。 これらのユーザーは、ログイン時に Azure Databricks アカウントに自動的に追加されます。 これらは、ダッシュボードが存在するワークスペースにメンバーとして追加されません。 ワークスペースにアクセスできない Microsoft Entra ID のメンバーには、資格情報が埋め込まれたダッシュボードの表示専用コピーへのアクセス権が付与されます。 ダッシュボード共有の詳細については、「 ダッシュボードの共有」を参照してください。
ID 以外のフェデレーション ワークスペースでは、自動 ID 管理はサポートされていません。 ID フェデレーションの詳細については、「ID フェデレーションを 有効にする」を参照してください。
ユーザーとグループの状態
自動 ID 管理を有効にすると、Microsoft Entra ID のユーザー、サービス プリンシパル、およびグループが、アカウント コンソールとワークスペース管理者設定ページに表示されます。 その状態は、Microsoft Entra ID と Azure Databricks 間のアクティビティと状態を反映しています。
| ステータス | 意味 |
|---|---|
| 非アクティブ: 使用なし | Azure Databricks にまだログインしていない Microsoft Entra ID の ID。 |
| アクティブです | ID は Azure Databricks でアクティブです。 |
| アクティブ: Entra ID から削除済み | 以前は Azure Databricks でアクティブでしたが、Microsoft Entra ID から削除されています。 |
| 非アクティブ | ID が Microsoft Entra ID で非アクティブにされました。 |
非アクティブ化されたユーザーと Microsoft Entra ID から削除されたユーザーは、Azure Databricks にログインすることも、Azure Databricks API に対して認証することもできません。 セキュリティのベスト プラクティスとして、 非アクティブ化 および アクティブ: EntraID ユーザーから削除 された個人用アクセス トークンを取り消することをお勧めします。
自動 ID 管理を使用して管理されるグループとサービス プリンシパルは、Azure Databricks では 外部 として表示されます。 Azure Databricks UI を使用して外部 ID を更新することはできません。
自動 ID 管理と SCIM プロビジョニング
自動 ID 管理を有効にすると、すべてのユーザー、グループ、およびグループ メンバーシップが Microsoft Entra ID から Azure Databricks に同期されるため、SCIM プロビジョニングは必要ありません。 SCIM エンタープライズ アプリケーションを並列で実行し続ける場合、SCIM アプリケーションは Microsoft Entra ID エンタープライズ アプリケーションで構成されたユーザーとグループを引き続き管理します。 SCIM provisoning を使用して追加されなかった Microsoft Entra ID ID は管理されません。
Databricks では、自動 ID 管理を使用することをお勧めします。 次の表は、自動 ID 管理の機能と SCIM プロビジョニングの機能を比較しています。
| 特徴 | ID の自動管理 | SCIM プロビジョニング |
|---|---|---|
| ユーザーの同期 | ✓ | ✓ |
| 同期グループ | ✓ | ✓ (直接メンバーのみ) |
| 入れ子になったグループを同期する | ✓ | |
| サービス プリンシパルを同期する | ✓ | |
| Microsoft Entra ID アプリケーションの構成と管理 | ✓ | |
| Microsoft Entra ID Premium エディションが必要です | ✓ | |
| Microsoft Entra ID クラウド アプリケーション管理者ロールが必要です | ✓ | |
| ID フェデレーションが必要 | ✓ |
Azure Databricks の外部 ID と Microsoft Entra ID オブジェクト ID
Azure Databricks は、ID とグループ メンバーシップを同期するための権限のあるリンクとして Microsoft Entra ID ObjectIdを使用し、毎日繰り返されるフローのexternalIdと一致するようにObjectId フィールドを自動的に更新します。 場合によっては、ユーザー、サービス プリンシパル、またはグループが自動 ID 管理と SCIM プロビジョニングなどの別の方法の両方を使用して Azure Databricks に追加された場合は特に、ID の不一致や重複が引き続き発生することがあります。 このような状況では、エントリが重複し、1 つの一覧に [ 非アクティブ] という状態が表示される場合があります。使用状況はありません。 ユーザーは非アクティブではなく、Azure Databricks にログインできます。
これらの重複する ID は、Azure Databricks で外部 ID を指定することでマージできます。
アカウント ユーザー、アカウント サービス プリンシパル、またはアカウント グループ API を使用してプリンシパルを更新し、objectId フィールドに Microsoft Entra ID externalIdを追加します。
externalIdは時間の経過と同時に更新される可能性があるため、Azure Databricks では、externalId フィールドに依存するカスタム ワークフローを使用しないことを強くお勧めします。
ID の自動管理を有効にする
アカウント管理者は、[プレビュー] ページを使用して ID の自動管理を有効にすることができます。
- アカウント管理者として、アカウント コンソールにログインします。
- サイドバーで[ プレビュー]をクリックします。
- [自動 ID 管理] を [オン] に切り替えます。
アカウントを有効にした後、Microsoft Entra ID からユーザー、サービス プリンシパル、およびグループを追加および削除するには、次の手順に従います。
自動 ID 管理が有効になっている場合、アカウント管理者は [プレビュー] ページを使用して無効にすることができます。 無効にすると、以前にプロビジョニングされたユーザー、サービス プリンシパル、およびグループは Azure Databricks に残りますが、Microsoft Entra ID と同期されなくなります。 これらのユーザーは、アカウント コンソールで削除または非アクティブ化できます。
ユーザー ログインの監査
system.access.audit テーブルに対してクエリを実行して、ワークスペースにログインしたユーザーを監査できます。 例えば:
SELECT
DISTINCT user_identity.email
FROM
system.access.audit
WHERE
action_name = "aadBrowserLogin"
system.access.audit テーブルの詳細については、「監査ログ システム テーブルリファレンス を参照してください。