ユーザーの管理

  • [アーティクル]

この記事では、Azure Databricks ユーザーを追加、更新、削除する方法について説明します。

Azure Databricks ID モデルの概要については、「Azure Databricks の ID」を参照してください。

ユーザー管理の概要

Azure Databricks でユーザーを管理するには、アカウント管理者またはワークスペース管理者でなければなりません。

  • アカウント管理者は、ユーザーに対して、アカウントへの追加と管理者ロールの割り当てを実行できます。 また、ユーザーに対して、ワークスペースへの割り当てと、ワークスペースをまたいだデータ アクセスの構成もできますが、これはそれらのワークスペースで ID フェデレーションが使用されている場合に限られます。

  • ワークスペース管理者は、ユーザーに対して、Azure Databricks ワークスペースへの追加と、ワークスペース管理者ロールの割り当てができます。また、ワークスペース内のオブジェクトや機能へのアクセスを管理できます。たとえば、クラスターの作成や、指定されたペルソナベース環境へのアクセスなどです。 Azure Databricks ワークスペースにユーザーを追加すると、アカウントにも追加されます。

    ワークスペース管理者は、ワークスペース内の adminsグループのメンバーです。このグループは予約済みで、削除できません。

    Azure のワークスペース リソースに対して共同作成者または所有者ロールが組み込まれているユーザーには、Azure portal で [ワークスペースの起動] をクリックすると、ワークスペース管理者ロールが自動的に割り当てられます。 詳細については、「ワークスペース管理者とは」を参照してください。

重要

アカウントが 2023 年 11 月 9 日以降に作成された場合、すべての新しいワークスペースで ID フェデレーションが既定で有効になり、無効にすることはできません。

Microsoft Entra ID (旧称 Azure Active Directory) テナントから Azure Databricks アカウントにユーザーを同期する

アカウント管理者は、SCIM プロビジョニング コネクタを使用して、Microsoft Entra ID (旧称 Azure Active Directory) テナントのユーザーを Azure Databricks アカウントに同期できます。

重要

ID をワークスペースに直接同期する SCIM コネクタが既にある場合、アカウント レベルの SCIM コネクタが有効になっているときには、これらの SCIM コネクタを無効にする必要があります。 「ワークスペース レベルの SCIM プロビジョニングをアカウント レベルに移行する」を参照してください。

手順については、「Microsoft Entra ID を使用した Azure Databricks への ID のプロビジョニング」をご覧ください。

アカウント内のユーザーを管理する

アカウント管理者は、アカウント コンソールを使用して Azure Databricks アカウントにユーザーを追加できます。 Azure Databricks アカウントのユーザーは、ワークスペース、データ、またはコンピューティング リソースへの既定のアクセス権を持っていません。

アカウント コンソールを使用してアカウントにユーザーを追加する

  1. アカウント管理者として、アカウント コンソールにログインします。
  2. サイドバーで、[ユーザー管理] をクリックします。
  3. [ユーザー] タブで、[ユーザーの追加] をクリックします。
  4. ユーザーの名前とメール アドレスを入力します。
  5. [ユーザーの追加] をクリックします。

Note

1 人のユーザーが 50 を超える Azure Databricks アカウントに属することはできません。

ワークスペースに対するアクセス権をユーザーに付与するには、そのワークスペースにユーザーを追加する必要があります。 詳しくは、「ワークスペース内のユーザーを管理する」をご覧ください。

ユーザーにアカウント管理者ロールを割り当てる

  1. アカウント管理者として、アカウント コンソールにログインします。
  2. サイドバーで、[ユーザー管理] をクリックします。
  3. ユーザー名を見つけてクリックします。
  4. [ロール] タブで、[アカウント管理者] または [マーケットプレース管理者] をオンにします。

アカウント コンソールを使用してユーザーをワークスペースに割り当てる

アカウント コンソールを使用してワークスペースにユーザーを追加するには、ワークスペースで ID フェデレーションが有効でなければなりません。 ワークスペース管理者は、ワークスペース管理者設定ページを使用して、ユーザーをワークスペースに割り当てることもできます。 詳しくは、「ワークスペース管理者設定ページを使用してワークスペースにユーザーを割り当てる」をご覧ください。

  1. アカウント管理者として、アカウント コンソールにログインします。
  2. サイドバーで、[ワークスペース] をクリックします。
  3. ワークスペース名をクリックします。
  4. [Permissions](アクセス許可) タブで [Add permissions](アクセス許可の追加) をクリックします。
  5. ユーザーを見つけて選択し、アクセス許可レベル (ワークスペース ユーザー、または管理者) を割り当てて、[保存] をクリックします。

アカウント コンソールを使用してユーザーをワークスペースから削除する

アカウント コンソールを使用してワークスペースからユーザーを削除するには、ワークスペースで ID フェデレーションが有効でなければなりません。 ユーザーがワークスペースから削除されると、そのユーザーはワークスペースにアクセスできなくなりますが、そのユーザーに対するアクセス許可は維持されます。 そのユーザーが後でワークスペースに再び追加された場合、ユーザーは以前のアクセス許可を回復します。

  1. アカウント管理者としてアカウント コンソールにログインします
  2. サイドバーで、[ワークスペース] をクリックします。
  3. ワークスペース名をクリックします。
  4. [アクセス許可] タブで、ユーザーを見つけます。
  5. ユーザー行の右端にある Kebab menu kebab メニューをクリックし、[削除] を選択します。
  6. 確認のダイアログ ボックスで [削除] をクリックします。

Azure Databricks アカウント内のユーザーを非アクティブ化する

アカウント管理者は、Azure Databricks アカウント全体でユーザーを非アクティブ化できます。 非アクティブ化されたユーザーは、Azure Databricks アカウントまたはワークスペースにログインできません。 ただし、ユーザーのすべてのアクセス許可とワークスペース オブジェクトは変更されないままです。 ユーザーが非アクティブ化された場合、次のようになります:

  • ユーザーは、どのメソッドからもアカウントまたはワークスペースにログインできません。
  • ユーザーが生成したトークンを使用するアプリケーションまたはスクリプトは、Databricks API にアクセスできなくなります。 トークンは残りますが、ユーザーが非アクティブである間は認証に使用できません。
  • ユーザーが所有するノートブックは残ります。
  • ユーザーが所有するクラスターは実行され続けます。
  • ユーザーが作成したスケジュールされたジョブは、失敗しないように新しい所有者に割り当てる必要があります。

ユーザーが再アクティブ化された場合は、同じアクセス許可を使用して Azure Databricks にログインできます。 Databricks では、ユーザーの削除は破壊的なアクションであるため、ユーザーを削除する代わりにアカウントから非アクティブにすることをお勧めします。

アカウント コンソールを使用してユーザーを非アクティブ化することはできません。 代わりに、Account Users API を使用します。 「API を使用して Azure Databricks アカウント内のユーザーを非アクティブ化する」を参照してください。

Azure Databricks アカウントからユーザーを削除する

アカウント管理者は、Azure Databricks アカウントからユーザーを削除できます。 これをワークスペース管理者が行うことはできません。 アカウントからユーザーを削除すると、そのユーザーはワークスペースからも削除されます。

重要

アカウントからユーザーを削除すると、ID フェデレーションが有効になっているかどうかに関係なく、そのユーザーはそのワークスペースからも削除されます。 アカウントレベルのユーザーの削除は、アカウント内のすべてのワークスペースへのアクセスを禁止することを望む場合を除き、行わないことをお勧めします。 ユーザーを削除した場合の次の結果に注意してください。

  • ユーザーが生成したトークンを使用するアプリケーションまたはスクリプトは、Databricks API にアクセスできなくなる
  • ユーザーが所有するジョブは失敗する
  • ユーザーが所有するクラスターは停止する
  • ユーザーによって作成され、"所有者として実行" 資格情報を使用して共有されるクエリまたはダッシュボードは、共有が失敗しないように、新しい所有者に割り当てる必要がある

ユーザーがアカウントから削除されると、そのユーザーはアカウントまたはそのワークスペースにアクセスできなくなりますが、そのユーザーに対するアクセス許可は維持されます。 そのユーザーが後でアカウントに再び追加された場合、ユーザーは以前のアクセス許可を回復します。

アカウント コンソールを使用してユーザーを削除するには、次の操作を行います。

  1. アカウント管理者として、アカウント コンソールにログインします。
  2. サイドバーで、[ユーザー管理] をクリックします。
  3. ユーザー名を見つけてクリックします。
  4. [ユーザー情報] タブで、右上角にある Kebab menu kebab メニューをクリックし、[削除] を選択します。
  5. 確認ダイアログで [削除の確認] をクリックします。

アカウント コンソールを使用してユーザーを削除する場合、そのアカウントに設定されている SCIM プロビジョニング コネクタまたは SCIM API アプリケーションを使用してそのユーザーを削除する必要もあります。 そうしないと、SCIM プロビジョニングによって、次回、同期を行うときにそのユーザーが追加されてしまいます。 「Microsoft Entra ID からユーザーとグループを同期する」を参照してください。

SCIM API を使用して Azure Databricks アカウントからユーザーを削除するには、アカウント管理者である必要があります。「Azure Databricks アカウントに ID をプロビジョニングする」と アカウント グループ API に関するページを参照してください。

ワークスペース内のユーザーを管理する

ワークスペース管理者は、ワークスペース管理者設定ページを使用してユーザーを追加および管理できます。

ワークスペース管理者設定ページを使用してワークスペースにユーザーを割り当てる

ワークスペース管理者設定ページを使用してワークスペースにユーザーを追加するには、次の操作を行います。

  1. ワークスペース管理者として、Azure Databricks ワークスペースにログインします。

  2. Azure Databricks ワークスペースの上部バーでユーザー名をクリックし、[管理者設定] を選択します。

  3. [ID およびアクセス管理] タブをクリックします。

  4. [ユーザー] の横にある [管理] をクリックします。

  5. [ユーザーの追加] をクリックします。

  6. 既存のユーザーを選んでワークスペースに割り当てるか、[新規追加] をクリックして新しいユーザーを作成します。

    Azure Databricks ワークスペースの Microsoft Entra ID (旧称 Azure Active Directory) テナントに属している任意のユーザーを追加できます。

  7. [追加] をクリックします。

Note

ワークスペースで ID フェデレーションが有効になっていない場合は、新しいユーザーをワークスペースに追加するオプションのみが表示されます。 既存のアカウント ユーザーとユーザー名 (メール アドレス) を共有しているユーザーを追加すると、それらのユーザーはマージされます。

ワークスペース管理者設定ページを使用してワークスペース管理者ロールをユーザーに割り当てる

ワークスペース管理者設定ページを使用してワークスペース管理者ロールを割り当てるには、次の操作を行います。

  1. ワークスペース管理者として、Azure Databricks ワークスペースにログインします。
  2. Azure Databricks ワークスペースの上部バーでユーザー名をクリックし、[管理者設定] を選択します。
  3. [ID およびアクセス管理] タブをクリックします。
  4. [ユーザー] の横にある [管理] をクリックします。
  5. ユーザー を選択します。
  6. [エンタイトルメント] タブをクリックします。
  7. [管理者アクセス] の横にあるトグルクリックします。

ワークスペース ユーザーからワークスペース管理者ロールを削除するには、同じ手順を実行しますが、[管理者アクセス] の切り替えをオフにします。

ユーザーにエンタイトルメントを割り当てる

エンタイトルメントとは、ユーザー、サービス プリンシパル、またはグループが、指定した方法で Azure Databricks と対話できるようにするプロパティです。 エンタイトルメントは、ワークスペース レベルでユーザーに割り当てられます。 次の表に、エンタイトルメントと、その各々を管理するために使用するワークスペース UI および API プロパティ名をリストします。 ワークスペースの管理者設定ページとワークスペース レベルの SCIM REST API を使用して、エンタイトルメントを管理できます。

エンタイトルメントの名前 エンタイトルメントの API 名 既定値 説明
ワークスペース アクセス workspace-access 既定で付与されます。 これを許可されたユーザーまたはサービス プリンシパルは、Data Science & Engineering および Databricks Machine Learning のペルソナベースの環境にアクセスすることができます。

ワークスペース管理者から削除することはできません。
Databricks SQL アクセス databricks-sql-access 既定で付与されます。 付与されたユーザーまたはサービス プリンシパルは、Databricks SQL にアクセスできます。
無制限のクラスターの作成を許可する allow-cluster-create 既定では、ユーザーまたはサービス プリンシパルには付与されません。 付与されたユーザーまたはサービス プリンシパルは、無制限のクラスターを作成できます。 クラスターレベルのアクセス許可を使用して、既存のクラスターへのアクセスを制限することができます。

ワークスペース管理者から削除することはできません。
プールの作成を許可する (UI では不可) allow-instance-pool-create 個々のユーザーまたはサービス プリンシパルに付与することはできません。 グループに付与されると、そのメンバーはインスタンス プールを作成できます。

ワークスペース管理者から削除することはできません。

users グループには 、既定でワークスペース アクセスDatabricks SQL アクセス エンタイトルメントが付与されます。 すべてのワークスペース ユーザーとサービス プリンシパルは、users グループのメンバーです。 これらのエンタイトルメントをユーザーごとに割り当てるには、ワークスペース管理者が users グループからこのエンタイトルメントを削除し、ユーザー、サービスプリンシパル、グループに個別に割り当てる必要があります。

重要

Azure Databricks ワークスペースにログインしてアクセスするには、ユーザーが Databricks SQL アクセスまたはワークスペース アクセスのエンタイトルメントを持っている必要があります。

管理者設定ページを使用して allow-instance-pool-create のエンタイトルメントを付与することはできません。 代わりに、ワークスペース ユーザー、サービス プリンシパル、または Groups API を使用します。

ワークスペース管理者設定ページを使用してユーザーのエンタイトルメントを追加または削除する

  1. ワークスペース管理者として、Azure Databricks ワークスペースにログインします。
  2. Azure Databricks ワークスペースの上部バーでユーザー名をクリックし、[管理者設定] を選択します。
  3. [ID およびアクセス管理] タブをクリックします。
  4. [ユーザー] の横にある [管理] をクリックします。
  5. ユーザー を選択します。
  6. [エンタイトルメント] タブをクリックします。
  7. エンタイトルメントを追加するには、対応する列の切り替えをオンにします。

エンタイトルメントを削除するには、同じ手順を実行しますが、代わりに切り替えをオフにします。

Note

ワークスペース管理者はエンタイトルメントではありません。 [管理者アクセス] の切り替えは、ユーザーを admins グループに追加するための便利な方法です。

エンタイトルメントがグループから継承された場合、エンタイトルメントの切り替えは選択されますが、グレー表示されます。継承されたエンタイトルメントを削除するには、エンタイトルメントを持つグループからユーザーを削除するか、グループからエンタイトルメントを削除します。

Azure Databricks ワークスペース内のユーザーを非アクティブ化する

ワークスペース管理者は、Azure Databricks ワークスペース内のユーザーを非アクティブ化できます。 非アクティブ化されたユーザーは、ワークスペースにログインしたり、Azure Databricks API からアクセスしたりすることはできませんが、ユーザーのすべてのアクセス許可とワークスペース オブジェクトは変更されません。 ユーザーが非アクティブ化されると、次のようになります。

  • ユーザーは、どのメソッドからもワークスペースにログインできません。
  • ユーザーの状態は、ワークスペース管理者設定ページで [非アクティブ] と表示されます。
  • ユーザーが生成したトークンを使用するアプリケーションまたはスクリプトは、Databricks API にアクセスできなくなります。 トークンは残りますが、ユーザーが非アクティブである間は認証に使用できません。
  • ユーザーが所有するノートブックは残ります。
  • ユーザーが所有するクラスターは実行され続けます。
  • ユーザーが作成したスケジュールされたジョブは、失敗しないように新しい所有者に割り当てる必要があります。

ユーザーが再アクティブ化された場合は、同じアクセス許可を使用してワークスペースにログインできます。 Databricks では、ユーザーの削除は破壊的なアクションであるため、ユーザーを削除する代わりに非アクティブにすることをお勧めします。 ワークスペース管理者設定ページを使用してユーザーを非アクティブ化することはできません。 代わりに、Workspace Users API を使用します。 「API を使用して Azure Databricks ワークスペース内のユーザーを非アクティブ化する」を参照してください。

ワークスペースで [管理者設定] ページを使用して、ワークスペースからユーザーを削除する

ユーザーがワークスペースから削除されると、そのユーザーはワークスペースにアクセスできなくなりますが、そのユーザーに対するアクセス許可は維持されます。 そのユーザーが後でワークスペースに再び追加された場合、ユーザーは以前のアクセス許可を回復します。

  1. ワークスペース管理者として、Azure Databricks ワークスペースにログインします。
  2. Azure Databricks ワークスペースの上部バーでユーザー名をクリックし、[管理者設定] を選択します。
  3. [ID およびアクセス管理] タブをクリックします。
  4. [ユーザー] の横にある [管理] をクリックします。
  5. ユーザーを見つけて、ユーザー行の右端にある Kebab menu kebab メニューを見つけ、[削除] 選択します。
  6. [削除] をクリックして確定します。

API を使用してユーザーを管理する

アカウント管理者とワークスペース管理者は、Databricks API を使用して、Azure Databricks のアカウントとワークスペース内のユーザーを管理できます。

API を使用してアカウント内のユーザーを管理する

管理者は Account Users API を使用して、Azure Databricks アカウントにユーザーを追加および管理できます。 アカウント管理者とワークスペース管理者は、別のエンドポイント URL を使用して API を呼び出します。

  • アカウント管理者は {account-domain}/api/2.0/accounts/{account_id}/scim/v2/ を使用します。
  • ワークスペース管理者は {workspace-domain}/api/2.0/account/scim/v2/ を使用します。

詳細については、Account Users API に関するページを参照してください。

API を使用して Azure Databricks アカウント内のユーザーを非アクティブ化する

アカウント管理者は、Account Users API を使用してユーザーの状態を変更し、ユーザーを非アクティブ化できます。 次に例を示します。

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

非アクティブ化されたユーザーの状態には、アカウント コンソールで [非アクティブ] というラベルが付けられます。

アカウントからユーザーを非アクティブ化すると、そのユーザーはワークスペースからも非アクティブ化されます。

API を使用してワークスペース内のユーザーを管理する

アカウント管理者とワークスペース管理者は、Workspace Assignment API を使用して、ID フェデレーションが有効なワークスペースにユーザーを割り当てることができます。 Workspace Assignment API は、Azure Databricks のアカウントとワークスペースでサポートされています。

  • アカウント管理者は {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments を使用します。
  • ワークスペース管理者は {workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id} を使用します。

ワークスペース割り当て API」を参照してください。

ワークスペースで ID フェデレーションが有効になっていない場合、ワークスペース管理者はワークスペース レベルの API を使用して、ユーザーをワークスペースに割り当てることができます。 詳しくは、「Workspace Users API」をご覧ください。

API を使用して Azure Databricks ワークスペース内のユーザーを非アクティブ化する

ワークスペース管理者は Workspace Users API を使用してユーザーの状態を変更し、ユーザーを非アクティブ化できます。 次に例を示します。

curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

非アクティブ化されたユーザーの状態には、ワークスペース管理者設定ページで [非アクティブ] というラベルが付けられます。