Share via

ワークスペース ローカル グループを管理する (レガシ)

  • [アーティクル]

この記事では、管理者がワークスペース ローカル グループを作成して管理する方法について説明します。 アカウント グループの概要については、「グループの管理」をご覧ください。

ワークスペース ローカル グループとは

ワークスペース ローカル グループはレガシ グループです。 これらのグループは、ワークスペース管理者設定ページで "ワークスペース ローカル" として識別されます。 ワークスペース ローカル グループは、アカウント グループとしてのアカウントには同期されません。 ワークスペース ローカル グループが定義されているワークスペース内でこれらのグループを使うことはできますが、アカウント レベルのインターフェイスを使ってこれらのグループを管理することはできません。 追加のワークスペースへの割り当てや、Unity Catalog メタストア内のデータへのアクセス権の付与はできません。 ワークスペース ローカル グループには、アカウント レベルのロールを付与できません。 一元化された ID を活用するために、Databricks ではワークスペース ローカル グループの代わりにアカウント グループを使うことをお勧めします。

ワークスペース管理者は、ワークスペース管理者設定ページ、ID プロバイダーのプロビジョニング コネクタ、Workspace Groups API を使って、ワークスペース ローカル グループを追加して管理できます。

ワークスペース ローカル グループのアクセスを管理するには、「認証とアクセス制御」を参照してください。

Note

ID フェデレーションが行われているワークスペースでは、Workspace Groups API を使ってのみワークスペース ローカル グループを管理できます。 お使いのアカウントが 2023 年 11 月 9 日以降に作成されている場合、すべての新しいワークスペースで ID フェデレーションが既定で有効になり、無効にすることはできません。

ワークスペース ローカル グループをアカウント グループに移行する

Databricks では、ID を管理する一元的な場所を利用するためにワークスペースローカル グループをアカウント グループに変換することをお勧めしています。 ワークスペースローカル グループをアカウント グループに変換するには、以下の手順に従って新しいアカウント グループを作成し、既存のワークスペースローカル グループを削除する必要があります。

手順 1: ワークスペースローカル グループの名前を変更する

ワークスペース内の 2 つのグループに同じ名前を付けることはできません。 同じ名前の新しいアカウント グループをワークスペースに追加するには、ワークスペースローカル グループの名前を変更する必要があります。 これらの手順では、グループ名に (workspace) を追加することをお勧めします。

  1. ワークスペース管理者として、Azure Databricks ワークスペースにログインします。
  2. Azure Databricks ワークスペースの上部バーでユーザー名を選択し、[設定] を選択します。
  3. [グループ] タブをクリックし、アカウント グループに変換するワークスペースローカル グループを選びます。
  4. [名前] で、グループ名の末尾に (workspace) を追加します。
  5. [保存] をクリックします。

手順 2: 新しいアカウント グループを作成する

  1. [グループ] タブで、[グループの追加] をクリックします。
  2. [新しく追加] をクリックします
  3. 変換するワークスペースローカル グループの名前を入力します。
  4. 追加をクリックします。
  5. [メンバー] タブで、[Add users, groups, or service principals](ユーザー、グループ、またはサービス プリンシパルの追加)をクリックします。
  6. ダイアログで、ワークスペースローカル グループのメンバーであるユーザー、サービス プリンシパル、グループを参照するか検索して選びます。
  7. [Confirm]\(確認\) をクリックします。

手順 3: アカウント グループにアクセス権を付与する

新しいアカウント グループには、ワークスペースレベル オブジェクトと、ワークスペースローカル グループが元々アクセス権を持っていた機能に対するアクセス権を付与して、グループ メンバーがそのアクセス権を維持できるようにする必要があります。 「エンタイトルメントを管理する」の説明に従って、新しいアカウント グループにワークスペースのエンタイトルメントを割り当て、Permissions API を使用してワークスペース内のオブジェクトに対するアクセス権をグループに付与します。 アクセス制御の詳細については、「アクセス制御リスト」を参照してください。

手順 4: ワークスペースローカル グループを削除する

ワークスペースローカル グループのアカウントへの移行が完了したので、ワークスペースローカル グループを削除できます。

  1. [グループ] タブで、アカウント グループに変換するワークスペースローカル グループを選びます。
  2. [x 削除] をクリックし、[削除] をクリックして確定します。

API を使ってワークスペース ローカル グループを管理する

ワークスペース管理者は、ワークスペース レベルの SCIM API を使用して、ワークスペース ローカル グループを追加したり管理したりできます。 ID フェデレーションが行われているワークスペースでは、ワークスペース ローカル グループは API を使用してのみ管理できます。 手順については、Workspace Groups API に関するページをご覧ください。

管理者設定ページを使ってワークスペース ローカル グループを管理する

ID フェデレーションが行われていないワークスペースでは、ワークスペース管理者は、ワークスペース管理者設定ページを使用して、ワークスペース ローカル グループを追加および管理できます。

管理者設定ページを使ってワークスペース ローカル グループを作成する

管理者設定を使用してワークスペース ローカル グループをワークスペースに追加するには、以下の操作を行います。

  1. ワークスペース管理者として、Azure Databricks ワークスペースにログインします。

  2. Azure Databricks ワークスペースの上部バーでユーザー名を選択し、[設定] を選択します。

  3. [ID およびアクセス管理] タブをクリックします。

  4. [グループ] の横にある [管理] をクリックします。

  5. [グループの作成] をクリックします。

  6. グループ名を入力し、[作成] をクリックします。

    グループ名は一意である必要があります。 グループ名を変更することはできません。 グループ名を変更する場合は、グループを削除してから新しい名前でグループを再作成する必要があります。

管理者設定ページを使ってワークスペース ローカル グループにメンバーを追加する

Note

子グループを admins グループに追加することはできません。

  1. ワークスペース管理者として、Azure Databricks ワークスペースにログインします。

  2. Azure Databricks ワークスペースの上部バーでユーザー名を選択し、[設定] を選択します。

  3. [ID およびアクセス管理] タブをクリックします。

  4. [グループ] の横にある [管理] をクリックします。

  5. 更新するグループを選択します。

  6. [メンバー] タブで、[Add users, groups, or service principals](ユーザー、グループ、またはサービス プリンシパルの追加)をクリックします。

  7. ダイアログで、追加しようとしているユーザー、サービス プリンシパル、グループを参照または検索して選択します。

  8. [Confirm](確認) をクリックします。

    ドロップダウン リストを非表示にして [確認] ボタンを表示するには、セレクター内の下方向キーをクリックする必要が生じる場合があります。

ワークスペース ローカル グループからユーザー、グループ、またはサービス プリンシパルを削除する

  1. ワークスペース管理者として、Azure Databricks ワークスペースにログインします。
  2. Azure Databricks ワークスペースの上部バーでユーザー名を選択し、[設定] を選択します。
  3. [ID およびアクセス管理] タブをクリックします。
  4. [グループ] の横にある [管理] をクリックします。
  5. 更新するグループを選択します。
  6. [メンバー] タブで、削除するユーザー、グループ、またはサービス プリンシパルを見つけて、[アクション] 列の [X] をクリックします。
  7. [メンバーの削除] をクリックして確定します。

Note

削除しようとしているグループの [親] タブに移動して、親ワークスペース ローカル グループから子ワークスペース ローカル グループを削除することもできます。 子ワークスペース ローカル グループの削除元の親グループを見つけて、[アクション] 列の [X] をクリックします。

親ワークスペース ローカル グループを表示する

  1. ワークスペース管理者として、Azure Databricks ワークスペースにログインします。
  2. Azure Databricks ワークスペースの上部バーでユーザー名を選択し、[設定] を選択します。
  3. [ID およびアクセス管理] タブをクリックします。
  4. [グループ] の横にある [管理] をクリックします。
  5. 表示するグループを選びます。
  6. [親グループ] タブで、グループの親グループを表示します。

グループの名前を変更する

  1. ワークスペース管理者として、Azure Databricks ワークスペースにログインします。
  2. Azure Databricks ワークスペースの上部バーでユーザー名を選択し、[設定] を選択します。
  3. [ID およびアクセス管理] タブをクリックします。
  4. [グループ] の横にある [管理] をクリックします。
  5. 表示するグループを選びます。
  6. [名前] で、名前を更新します。
  7. [保存] をクリックします。

Microsoft Entra ID (旧称 Azure Active Directory) テナントからワークスペースローカル グループを同期する

ワークスペースレベル SCIM プロビジョニング コネクタを使用して、Microsoft Entra ID (旧称 Azure Active Directory) テナントのグループを Azure Databricks ワークスペースに同期できます。 ワークスペースレベル SCIM プロビジョニングにより、ワークスペースでのみ使用できるワークスペースローカル グループを作成します。 Databricks では、代わりにアカウントレベル SCIM プロビジョニングを使うことをお勧めします。