Ескертпе
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Жүйеге кіруді немесе каталогтарды өзгертуді байқап көруге болады.
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Каталогтарды өзгертуді байқап көруге болады.
На этой странице представлен обзор групп в Azure Databricks. Сведения об управлении группами см. в разделе "Управление группами".
Группы упрощают управление идентификацией, упрощая назначение доступа к рабочим областям, данным и другим защищаемым объектам. Все идентичности Databricks можно назначать членами групп.
Замечание
На этой странице предполагается, что в рабочей области включена федерация удостоверений. Это настройка по умолчанию для большинства рабочих областей. Сведения об устаревших рабочих областях без федерации удостоверений см. в статье Устаревшие рабочие области без федерации удостоверений.
Группировать источники
Группы Azure Databricks классифицируются по четырем категориям на основе их источника, который отображается в столбце "Источник " списка групп
| Исходный материал | Описание |
|---|---|
| Учетная запись | Можно предоставить доступ к данным в хранилище метаданных каталога Unity, назначить роли на служебных принципалах и группах и разрешения для рабочих областей. Это основные группы для управления доступом к учетной записи Azure Databricks. |
| внешние | Создано в Azure Databricks у вашего поставщика удостоверений. Эти группы синхронизируются с провайдером удостоверений (например, Microsoft Entra ID). Внешние группы также считаются группами учетных записей. |
| Система | Создано и поддерживается Azure Databricks. Каждая учетная запись включает группу account users , содержащую всех пользователей и субъектов-служб. Каждая рабочая область имеет две системные группы: users (все члены рабочей области) и admins (администраторы рабочей области). Не удается удалить системные группы. |
| Рабочая область | Известные как локальные группы рабочей области, являются устаревшими группами, которые использовались только в рабочей области, в которой они были созданы. Они не могут быть назначены другим рабочим областям, предоставлен доступ к данным каталога Unity или назначенным ролям на уровне учетной записи. Databricks рекомендует преобразовать локальные группы рабочей области в группы учетных записей для более широких функциональных возможностей. |
При включении автоматического управления удостоверениями группы из Microsoft Entra ID становятся видимы в консоли учетной записи и на странице настроек администратора рабочего пространства. Их статус отражает их активность и состояние между Microsoft Entra ID и Azure Databricks. См. сведения о состоянии пользователей и групп.
Кто может управлять группами?
Чтобы создать группы в Azure Databricks, необходимо:
- Администратор учетной записи
- Администратор рабочей области
Для управления группами в Azure Databricks необходимо иметь роль диспетчера групп (общедоступная предварительная версия) в группе. Эта роль позволяет:
- Управление членством в группах
- Удаление групп
- Назначение роли диспетчера групп другим пользователям
По умолчанию:
- Администраторы учетных записей автоматически имеют роль диспетчера групп для всех групп.
- Администраторы рабочей области автоматически имеют роль диспетчера групп в группах, которые они создают.
Роли диспетчера групп можно настроить следующим образом:
- Администраторы учетных записей, используя консоль учетной записи
- Администраторы рабочей области с помощью страницы параметров администратора рабочей области
- Диспетчеры групп, не являющихся администраторами, с помощью API управления доступом учетных записей
Администраторы рабочей области также могут создавать устаревшие группы рабочей области и управлять ими.
Синхронизируйте группы с учетной записью в Azure Databricks из Microsoft Entra ID
Databricks рекомендует синхронизировать группы из идентификатора Microsoft Entra с учетной записью Azure Databricks.
Вы можете синхронизировать группы из идентификационной системы Microsoft Entra автоматически или с помощью коннектора для подготовки SCIM.
Автоматическое управление удостоверениями позволяет добавлять пользователей, служебных принципалов и группы из Microsoft Entra ID в Azure Databricks без настройки приложения в Microsoft Entra ID. Databricks использует идентификатор Microsoft Entra в качестве источника записи, поэтому любые изменения членства пользователей или групп учитываются в Azure Databricks. Автоматическая система управления удостоверениями поддерживает вложенные группы. Автоматическое управление удостоверениями по умолчанию включено для учетных записей, созданных после 1 августа 2025 г. Дополнительные сведения см. в статье Синхронизация пользователей и групп автоматически из идентификатора Microsoft Entra ID.
Подготовка SCIM позволяет настроить корпоративное приложение в Microsoft Entra ID для синхронизации пользователей и групп с Microsoft Entra ID. Предоставление SCIM не поддерживает вложенные группы. Инструкции см. в разделе Синхронизация пользователей и групп из идентификатора Microsoft Entra с помощью SCIM.