Compartilhar via

Guia de administração de IA/BI

Este artigo descreve os controles administrativos nos níveis de conta e de espaço de trabalho que podem ser aplicados a produtos de IA/BI.

Gerenciar o painel e o acesso ao Genie

Os usuários recebem permissões no nível do espaço de trabalho que controlam como interagem com o espaço de trabalho do Azure Databricks. Consulte Gerenciar direitos para obter detalhes sobre cada tipo de acesso.

Painéis e espaços do Genie podem ser compartilhados com segurança com os seguintes tipos de usuário:

  • Usuários do workspace: as permissões têm como escopo o workspace em que eles são membros. Para acessar vários espaços de trabalho, eles devem ser adicionados individualmente a cada espaço de trabalho. Seu acesso é controlado por direitos que determinam como eles interagem com ativos de dados.
    • Com o direito de acesso ao Databricks SQL: os usuários podem criar novos painéis e espaços do Genie. O acesso pode ser concedido para exibir, editar e gerenciar painéis de rascunho e publicados. O acesso pode ser concedido à computação e aos dados geridos pelo Unity Catalog.
    • Com o direito de Acesso ao consumidor: os usuários podem ter acesso aos painéis publicados. O acesso pode ser concedido à computação e aos dados geridos pelo Unity Catalog. Para saber mais, confira o que é o acesso do consumidor?.
  • Usuários da conta: podem ser concedidos acesso a dashboards publicados com credenciais embutidas. Os usuários da conta devem ser registrados em sua conta do Azure Databricks, mas eles não precisam ter acesso a recursos adicionais ou ser adicionados a um workspace. Os usuários da conta podem ser designados como destinatários para painéis ou espaços do Genie em qualquer espaço de trabalho na conta. Consulte Compartilhar um painel para saber mais sobre dashboards publicados e credenciais embutidas.

Confira Gerenciar direitos.

Recursos por tipo de acesso

A tabela a seguir resume os recursos associados a cada tipo de acesso:

Capacidade Acesso de membro da conta Acesso ao consumidor Acesso do Databricks SQL
Exibir/executar painéis
Exibir/executar espaços do Genie
Impor segurança no nível de linha e coluna na exibição
Consultar os sql warehouses usando ferramentas de BI
Acessar dados controlados pelo Catálogo do Unity por meio de ferramentas de BI de terceiros
Painéis de IA/BI com capacidade de leitura e gravação
Espaços de leitura e gravação do Genie

Observação

Para permitir que os usuários da conta exibam dados do painel, os painéis devem ser publicados com credenciais inseridas.

Considerações de rede

Se as listas de acesso IP estiverem configuradas, os painéis só poderão ser acessados se os usuários os acessarem dentro do intervalo de IP aprovado, como ao usar uma VPN. Isso se aplica a todos os usuários, independentemente de serem atribuídos a um workspace. Para obter mais informações sobre como configurar o acesso, confira Gerenciar listas de acesso de IP.

Gerenciamento de usuários e grupos

Todos os usuários registrados no Azure Databricks pertencem à sua conta do Azure Databricks. Registrar um usuário em uma conta do Azure Databricks estabelece uma identidade verificável que o Azure Databricks pode usar para autenticação quando esse usuário exibe um painel compartilhado ou um espaço do Genie. Organizar usuários individuais em grupos pode facilitar o compartilhamento para autores e editores. Por exemplo, um autor pode compartilhar com um único grupo nomeado em vez de compartilhar com cada usuário na conta.

Observação

Os usuários devem ter os dados apropriados e privilégios de computação para interagir com um espaço do Genie, que só pode ser concedido aos usuários do workspace.

Os usuários também podem compartilhar painéis com qualquer usuário, entidade de serviço ou grupo na ID do Microsoft Entra usando o gerenciamento automático de identidade (Visualização Pública). Após o logon, esses usuários são adicionados automaticamente à conta do Azure Databricks. Eles não são adicionados ao espaço de trabalho de origem do painel. Para obter mais informações, veja Sincronizar usuários e grupos automaticamente do Microsoft Entra ID.

Usuários e grupos podem ter acesso a zero, um ou vários workspaces. Os autores podem adicionar usuários e grupos a uma lista de pessoas com acesso para atribuir permissões específicas, como com outros objetos de workspace, ao compartilhar um dashboard ou espaço do Genie.

Para dashboards, eles podem definir configurações de compartilhamento com uma das seguintes opções:

  • Somente pessoas com acesso podem exibir
  • Qualquer pessoa na minha conta pode exibir

Se um painel for publicado com credenciais inseridas e compartilhado com um usuário específico, grupo ou todos os usuários da organização, esses usuários poderão acessá-lo independentemente de terem acesso ao workspace de origem.

A imagem a seguir mostra a relação entre usuários e grupos nos níveis de workspace e conta.

Diagrama SCIM no nível da conta com compartilhamento de painel

Nenhuma configuração adicional é necessária além do registro da conta. Os usuários não precisam ser atribuídos a um workspace ou fornecido acesso aos recursos de computação.

Gerenciar a incorporação do painel

A incorporação permite que os usuários do painel com pelo menos permissões de EDIÇÃO gerem código de incorporação iframe usando a caixa de diálogo Compartilhar. Os administradores do workspace podem gerenciar quais domínios, se houver, têm aprovação para hospedar um painel incorporado. A inserção de painel exige que os usuários tenham cookies de terceiros habilitados.

As configurações de administrador do workspace estão abertas no cabeçalho Incorporar painéis.

Para definir uma política que defina os domínios que permitem a incorporação de painéis, faça o seguinte:

  1. Clique no nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.

  2. Clique em Segurança.

  3. Role para baixo até a seção de Acesso externo.

  4. Na seção Inserir painéis, use o menu suspenso para definir a política para o workspace.

    Existem três opções de política:

    • Permitir: os painéis podem ser incorporados em qualquer domínio.
    • Permitir domínios aprovados: os painéis só podem ser incorporados em sites na lista aprovada.
    • Negar: os painéis podem ser incorporados em qualquer domínio.

Quando você seleciona Permitir domínios aprovados, pode usar esta seção para gerenciar a lista de domínios aprovados fazendo o seguinte:

  1. Clique em Gerenciar ao lado de Incorporar painéis.
  2. Digite um domínio no campo de texto da caixa de diálogo Domínio aprovado. Clique em Adicionar domínio após cada entrada.
  3. Clique em Salvar.

Dicas para definir domínios e rotas aprovados

Para especificar hosts permitidos, use a gramática definida na documentação da Política de Segurança de Conteúdo do W3C. Os exemplos nesta seção ilustram alguns padrões comuns.

Permitir subdomínios

Para permitir todos os subdomínios para um determinado domínio, use um símbolo curinga (*) antes do nome de domínio. Os exemplos a seguir usam *.databricks.com como um domínio de exemplo.

  • Correspondências: qualquer subdomínio
    • some.databricks.com
    • app.databricks.com
    • anything.databricks.com
  • Não corresponde: qualquer que tenha um domínio diferente.
    • another-databricks.com
    • app-databricks.com

Permitir caminhos de URL específicos

Para permitir que todas as páginas em um URL base usem uma barra à direita (/) para representar o diretório raiz. Os subdiretórios e os caminhos adicionais corresponderão.

Os exemplos a seguir usam sites.google.com/some/path/ como um caminho de exemplo fornecido.

  • Correspondências:sites.google.com/some/path/to/my/dashboard e sites.google.com/some/path/any-page.
  • não corresponde:
    • sites.google.com/some/path. Este exemplo não tem a barra final e, portanto, é uma URL diferente.
    • sites.google.com/some/other/path/to/my/dashboard. Este exemplo não compartilha o mesmo caminho base.

Observação

Uma URL sem uma barra no final é tratada como uma correspondência exata e omite subdiretórios.

Controles de assinatura do administrador do workspace

Os administradores do workspace podem impedir que os usuários distribuam painéis usando assinaturas. Alterar essa configuração impede que todos os usuários adicionem assinantes de email a painéis agendados. Os editores de painel não podem adicionar assinantes e os visualizadores de painel não têm a opção de assinar um painel agendado.

Para impedir o compartilhamento de atualizações de email:

  1. Clique no nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.
  2. Na barra lateral Configurações, clique em Notificações.
  3. Desative a opção Habilitar assinaturas de email do painel.

Se essa configuração estiver desativada, as assinaturas existentes serão pausadas e ninguém poderá modificar as listas de assinaturas existentes. Se essa configuração for ativada novamente, as assinaturas retomarão usando a lista existente.

Baixar controles

Os administradores do workspace podem ajustar suas configurações de segurança para impedir que os usuários baixem os resultados do painel e do espaço do Genie usando as seguintes etapas:

  1. Clique no nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.
  2. Na barra lateral Configurações, clique em Segurança.
  3. Desative a opção Download de resultados do SQL.

Transferir a propriedade de um painel

Os administradores do workspace podem transferir a propriedade de um painel para um usuário diferente.

  1. Navegue até a lista de painéis. Clique em um nome de dashboard para editar.
  2. Clique em Compartilhar.
  3. Clique no ícone de engrenagem no canto superior direito da caixa de diálogo Compartilhamento. Compartilhar a caixa de diálogo com o ícone de engrenagem
  4. Comece a digitar um nome de usuário para pesquisar e selecione o novo proprietário.
  5. Clique em Confirmar.

O novo proprietário aparece na caixa de diálogo Compartilhamento com permissões Pode gerenciar. Para exibir painéis listados pelo proprietário, acesse a lista de painéis disponíveis clicando em Ícone PainéisPainéis.

Monitorar a atividade de IA/BI

Os administradores podem monitorar a atividade em painéis e espaços do Genie usando logs de auditoria. Consulte eventos do painel IA/BI e eventos do AI/BI Genie. Para obter exemplos de código que demonstram como acessar informações de log de auditoria para responder a perguntas comuns, consulte Monitorar o uso de IA/BI com logs de auditoria e alertas.