Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ta strona zawiera omówienie grup w usłudze Azure Databricks. Aby uzyskać informacje na temat zarządzania grupami, zobacz Zarządzanie grupami.
Grupy upraszczają zarządzanie tożsamościami, ułatwiając przypisywanie dostępu do obszarów roboczych, danych i innych zabezpieczanych obiektów. Wszystkie tożsamości Databricks mogą być przypisane do grup.
Uwaga / Notatka
Na tej stronie założono, że obszar roboczy ma włączoną federację tożsamości, która jest domyślna dla większości obszarów roboczych. Aby uzyskać informacje o starszych obszarach roboczych bez federacji tożsamości, zobacz Starsze obszary robocze bez federacji tożsamości.
Grupowanie źródeł
Grupy usługi Azure Databricks są klasyfikowane na cztery kategorie na podstawie ich źródła, które są wyświetlane w kolumnie Źródło listy grup
| Źródło | Opis |
|---|---|
| Rachunek | Można udzielić dostępu do danych w metastorze Unity Catalog, przypisywanie ról na jednostkach usługowych i grupach oraz uprawnieniach do obszarów roboczych i obiektów w przestrzeni roboczej. Członkowie dziedziczą uprawnienia obiektu obszaru roboczego ze wszystkich grup kont, których są członkami, niezależnie od tego, czy grupa jest przypisana do obszaru roboczego. Są to podstawowe grupy do zarządzania dostępem na koncie usługi Azure Databricks. |
| Zewnętrzny | Utworzono w usłudze Azure Databricks przez twojego dostawcę tożsamości. Te grupy synchronizują się z dostawcą usług identyfikacyjnych (na przykład Microsoft Entra ID). Grupy zewnętrzne są również traktowane jako grupy kont. |
| System | Utworzone i obsługiwane przez usługę Azure Databricks. Każde konto zawiera grupę account users zawierającą wszystkich użytkowników i główne identyfikatory usług. Każdy obszar roboczy ma dwie grupy systemowe: users (wszyscy użytkownicy, którym udzielono dostępu do obszaru roboczego) i admins (administratorzy obszaru roboczego). Nie można usunąć grup systemowych ani zmodyfikować ich uprawnień. |
| Obszar roboczy | Nazywane grupami lokalnymi obszaru roboczego są to starsze grupy, które były używane tylko w obszarze roboczym, w którym zostały utworzone. Nie można przypisać ich do innych obszarów roboczych, zapewnić dostępu do danych katalogu Unity ani przypisać ról na poziomie konta. Databricks zaleca konwertowanie grup lokalnych w obszarach roboczych na grupy kont w celu uzyskania szerszej funkcjonalności. |
Uwaga / Notatka
Od 15 czerwca 2026 r. Databricks wprowadza nowe działanie, w ramach którego uprawnienia obszaru roboczego są przyznawane jawnie, gdy podmioty zabezpieczeń są dodawane do obszaru roboczego, a grupy systemowe obszaru roboczego (users i admins) nie mają już przypisywalnych uprawnień. Grupa users nie będzie miała uprawnień, a admins grupa będzie miała wszystkie uprawnienia obszaru roboczego. Uprawnienia obu grup są zablokowane. Istniejące uprawnienia do elementu users są automatycznie migrowane do lokalnej dla obszaru roboczego grupy klonów, dzięki czemu podmioty zachowują swój dostęp. Nowe zachowanie będzie automatycznie włączane od 27 lipca 2026 r. w obszarach roboczych, w których nie wybrano ani włączenia, ani wyłączenia, a od 14 września 2026 r. będzie wymuszane we wszystkich obszarach roboczych. Aby uzyskać więcej informacji, zobacz Nadchodzące zmiany zachowania: wybieranie uprawnień podczas dodawania podmiotów zabezpieczeń do obszarów roboczych.
Po włączeniu automatycznego zarządzania tożsamościami grupy od dostawcy tożsamości są widoczne w konsoli konta i na stronie ustawień administratora obszaru roboczego. Ich status odzwierciedla ich aktywność i stan między dostawcą tożsamości a usługą Azure Databricks. Zobacz Stan użytkowników i grup.
Kto może zarządzać grupami?
Aby utworzyć grupy w usłudze Azure Databricks, musisz być jednym z poniższych:
- Administrator konta
- Administrator obszaru roboczego
Aby zarządzać grupami w usłudze Azure Databricks, musisz mieć rolę menedżera grupy (publiczna wersja zapoznawcza) w grupie. Ta rola umożliwia:
- Zarządzanie członkostwem w grupie
- Usuwanie grup
- Przypisywanie roli menedżera grup do innych użytkowników
Domyślnie:
- Administratorzy kont automatycznie mają rolę menedżera grupy dla wszystkich grup.
- Administratorzy obszaru roboczego automatycznie mają rolę menedżera grupy w tworzonych grupach.
Role menedżera grupy można skonfigurować za pomocą:
- Administratorzy konta, korzystając z konsoli konta
- Administratorzy obszaru roboczego przy użyciu strony ustawień administratora obszaru roboczego
- Menedżerowie grup niebędący administratorami przy użyciu interfejsu API kontroli dostępu kont
Administratorzy obszaru roboczego mogą również tworzyć starsze grupy obszarów roboczych i zarządzać nimi.
Synchronizowanie grup do konta Azure Databricks z Microsoft Entra ID
Usługa Databricks zaleca synchronizowanie grup z identyfikatora Entra firmy Microsoft z kontem usługi Azure Databricks.
Grupy można synchronizować automatycznie z identyfikatora Entra firmy Microsoft lub przy użyciu łącznika aprowizacji SCIM.
Automatyczne zarządzanie tożsamościami umożliwia dodawanie użytkowników, jednostek usługi i grup z identyfikatora Entra firmy Microsoft do usługi Azure Databricks bez konfigurowania aplikacji w usłudze Microsoft Entra ID. Usługa Databricks używa Microsoft Entra ID jako głównego źródła danych, więc wszelkie zmiany w użytkownikach lub członkostwie grup są uwzględniane w usłudze Azure Databricks. Automatyczne zarządzanie tożsamościami obsługuje grupy zagnieżdżone. Automatyczne zarządzanie tożsamościami jest domyślnie włączone dla kont utworzonych po 1 sierpnia 2025 r. Aby uzyskać szczegółowe informacje, zobacz Automatyczne zarządzanie tożsamościami.
Aprowizacja SCIM umożliwia skonfigurowanie aplikacji dla przedsiębiorstw w usłudze Microsoft Entra ID w celu zachowania synchronizacji użytkowników i grup z identyfikatorem Entra firmy Microsoft. Udostępnianie SCIM nie obsługuje grup zagnieżdżonych. Aby uzyskać instrukcje, zobacz Synchronizowanie użytkowników i grup z Microsoft Entra ID za pomocą protokołu SCIM.