このページでは、AI/BI 製品に適用できるアカウントとワークスペース レベルの管理コントロールについて説明します。
ダッシュボードと Genie アクセスの管理
ユーザーには、Azure Databricks ワークスペースとの対話方法を制御する権利がワークスペース レベルで付与されます。 各アクセスの種類の詳細については、「 エンタイトルメントの管理 」を参照してください。
ダッシュボードと Genie スペースは、次のユーザーの種類と安全に共有できます。
-
ワークスペース ユーザー: アクセス許可は、メンバーであるワークスペースにスコープが設定されます。 複数のワークスペースにアクセスするには、各ワークスペースに個別に追加する必要があります。 アクセスは、データ資産との対話方法を決定する権利によって制御されます。
- Databricks SQL アクセス権を使用すると、ユーザーは新しいダッシュボードと Genie スペースを作成できます。 下書きダッシュボードと発行済みダッシュボードを表示、編集、管理するためのアクセス権を付与できます。 コンピューティングと Unity カタログの管理データへのアクセス権を付与できます。
- コンシューマー アクセス権を使用する: ユーザーには、発行されたダッシュボードへのアクセス権を付与できます。 コンピューティングと Unity カタログの管理データへのアクセス権を付与できます。 詳細については、「 コンシューマー アクセスとは」を参照してください。
- アカウント ユーザー: 共有データアクセス許可を持つ発行済みダッシュボードへのアクセス権を付与できます。 アカウント ユーザーはAzure Databricks アカウントに登録する必要がありますが、追加のリソースにアクセスしたり、ワークスペースに追加したりする必要はありません。 アカウント ユーザーは、アカウント内の任意のワークスペースにわたってダッシュボードまたは Genie スペースの受信者として割り当てることができます。 公開されたダッシュボードと共有データのアクセス許可の詳細については、「 ダッシュボード の共有」を参照してください。
新しいユーザーの既定のワークスペース アクセスをコンシューマー アクセスに変更するには、「 既定のワークスペース アクセスをコンシューマー アクセスに変更する」を参照してください。 エンタイトルメントの詳細については、「 エンタイトルメントの管理」を参照してください。
アクセスの種類別の機能
次の表は、各アクセスの種類に関連付けられている機能をまとめたものです。
| 能力 | アカウントメンバーのアクセス | 消費者アクセス | Databricks SQL アクセス |
|---|---|---|---|
| ダッシュボードの表示/実行 | ✓ | ✓ | ✓ |
| Genie スペースの表示/実行 | ✓ | ✓ | |
| ビューに行レベルと列レベルのセキュリティを適用する | ✓ | ✓ | |
| BI ツールを使用して SQL ウェアハウスにクエリを実行する | ✓ | ✓ | |
| サードパーティの BI ツールを使用して Unity カタログ管理データにアクセスする | ✓ | ||
| AI/BI ダッシュボードの読み取り/書き込み | ✓ | ||
| Genie スペースの読み取り/書き込み | ✓ |
注
アカウント ユーザーは、共有または個別のデータアクセス許可で公開されたダッシュボードを表示できます。 ただし、アカウント ユーザーは、ワークスペースにバインドされたカタログなど、ワークスペースにバインドされたセキュリティ保護可能なリソースからのデータにアクセスできません。
ネットワークに関する考慮事項
IP アクセス リストが構成されている場合、ダッシュボードにアクセスできるのは、ユーザーが VPN を使用する場合など、承認済みの IP 範囲内からアクセスする場合のみです。 これは、ワークスペースに割り当てられているかどうかに関係なく、すべてのユーザーに適用されます。 アクセスの構成の詳細については、「IP アクセス リストの管理」を参照してください。
ユーザーとグループの管理
Azure Databricksに登録されているすべてのユーザーは、Azure Databricks アカウントに属しています。 Azure Databricks アカウントにユーザーを登録すると、そのユーザーが共有ダッシュボードまたは Genie スペースを表示するときに認証に Azure Databricks が使用する検証可能な ID が確立されます。 個々のユーザーをグループに整理すると、作成者や編集者の共有が容易になります。 たとえば、作成者は、アカウント内の各ユーザーと共有するのではなく、指定した 1 つのグループと共有できます。
注
ユーザーは、ワークスペース ユーザーにのみ付与できる Genie 空間と対話するために、適切なデータとコンピューティング権限を持っている必要があります。
ユーザーは、自動 ID 管理を使用して、Microsoft Entra ID内の任意のユーザー、サービス プリンシパル、またはグループとダッシュボードを共有することもできます。 共有されると、それらのユーザー、サービス プリンシパル、およびグループのメンバーは、ログイン時に自動的にAzure Databricks アカウントに追加されます。 これらは、ダッシュボードの元のワークスペースには追加されません。 自動 ID 管理は、2025 年 8 月 1 日以降に作成されたアカウントに対して既定で有効になっています。 詳細については、「sync users and groups automatically from Microsoft Entra ID」を参照してください。
ユーザーとグループは、ゼロ個、1 個、または複数のワークスペースにアクセスできます。 作成者は、ダッシュボードや Genie スペースを共有するときに、他のワークスペース オブジェクトと同様に、アクセスリストを 持つユーザー にユーザーとグループを追加して、特定のアクセス許可を割り当てることができます。
ダッシュボードでは、次のいずれかのオプションを使用して 共有設定 を構成できます。
- アクセス権を持つユーザーのみが閲覧できる
- マイ アカウント内のすべてのユーザーが閲覧できる
ダッシュボードが共有データのアクセス許可を使用して公開され、アカウント内の特定のユーザー、グループ、またはすべてのユーザーと共有されている場合、それらのユーザーは、元のワークスペースにアクセスできるかどうかに関係なく、ダッシュボードにアクセスできます。
次の図は、ワークスペース レベルとアカウント レベルでのユーザーとグループの関係を示しています。
アカウント登録を超えて追加の構成は必要ありません。 ユーザーをワークスペースに割り当てたり、コンピューティング リソースへのアクセス権を付与したりする必要はありません。
ダッシュボードの埋め込みを管理する
ユーザーは、外部の Web サイトやアプリケーションにダッシュボードを安全に埋め込むことができます。 各埋め込みオプションでは、ワークスペース管理者が設定とアクセス許可を構成する必要があります。 埋め込み設定を管理する方法については、「 ダッシュボードと Genie のスペース埋め込みの管理」を参照してください。
ワークスペース管理者サブスクリプションコントロール
ワークスペース管理者は、ユーザーがサブスクリプションを使用してダッシュボードを配布できないようにすることができます。 この設定を変更すると、すべてのユーザーがスケジュールされたダッシュボードにメール サブスクライバーを追加できなくなります。 ダッシュボード編集者はサブスクライバーを追加できません。また、ダッシュボード閲覧者にはスケジュールされたダッシュボードをサブスクライブするオプションが表示されません。
メールの更新を共有しないようにするには:
- Azure Databricks ワークスペースの上部バーにあるユーザー名をクリックし、Settings を選択します。
- [設定] サイドバーにある [通知] をクリックします。
- [ダッシュボードのメール サブスクリプションを有効にする] オプションをオフにします。
この設定がオフの場合、既存のサブスクリプションは一時停止され、既存のサブスクリプション リストは変更できなくなります。 この設定を再び有効にすると、サブスクリプションは既存のリストを使用して再開されます。
Slack またはMicrosoft Teams通知を構成する
ダッシュボード エディターは、スケジュールにサブスクライバーとして Slack チャネルとMicrosoft Teams チャネルを追加できます。 ユーザーが Slack またはMicrosoft Teamsチャネルをダッシュボード スケジュールにサブスクライブできるようにするには、ワークスペース管理者として Slack またはMicrosoft Teams通知先を構成します。
Slack サブスクリプションと Teams サブスクリプションは、次のようなダッシュボード スナップショットを提供します。
- チャネルに直接表示されるダッシュボードの PNG イメージ スナップショット
- Azure Databricksでダッシュボードを開く直接リンク
- メッセージ スレッド内の PDF スナップショット添付ファイル
アプリの作成、OAuth アクセス許可の構成、ダッシュボード サブスクリプションの通知先の設定に関する詳細な手順については、「
コントロールをダウンロードする
ワークスペース管理者は、次の手順を使用して、ユーザーがダッシュボードと Genie 領域の結果をダウンロードできないようにセキュリティ設定を調整できます。
- Azure Databricks ワークスペースの上部バーにあるユーザー名をクリックし、Settings を選択します。
- [設定] サイドバーにある [セキュリティ] をクリックします。
- [SQL 結果のダウンロード] オプションをオフにします。
ダッシュボードの所有権を譲渡する
ワークスペース管理者は、ダッシュボードの所有権を別のユーザーに譲渡できます。
- ダッシュボードのリストに移動します。 ダッシュボード名をクリックして編集します。
- [共有] をクリックします。
Gear icon.[共有] ダイアログの右上にある アイコンをクリックします。
![歯車アイコン付きの [共有] ダイアログ](../../_static/images/dashboards/lakeview-transfer-owner.png)
- 検索するユーザー名の入力を開始し、新しい所有者を選択します。
- [Confirm](確認) をクリックします。
新しい所有者が [ 共有 ] ダイアログに [CAN MANAGE] のアクセス許可と共に表示されます。 所有者別に一覧表示されたダッシュボードを表示するには、
[ダッシュボード] をクリックして、使用可能なダッシュボードのリストに移動します。
AI/BI アクティビティの監視
Warnung
停止のため、2025 年 10 月 16 日から 2025 年 11 月 19 日までの期間、一部のダッシュボード監査ログが見つからない可能性があります。
管理者は、監査ログを使用して、ダッシュボードと Genie スペースのアクティビティを監視できます。 AI/BI ダッシュボード イベントと Genie イベントを参照してください。 監査ログ情報にアクセスして一般的な質問に回答する方法を示すコード例については、「 監査ログとアラートを使用して Genie スペースの使用状況を監視する」を参照してください。