Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Esta página fornece uma visão geral dos grupos no Azure Databricks. Para saber como gerenciar grupos, consulte Gerenciar grupos.
Os grupos simplificam o gerenciamento de identidades, facilitando a atribuição de acesso a espaços de trabalho, dados e outros objetos protegíveis. Todas as identidades do Databricks podem ser atribuídas como membros de grupos.
Observação
Esta página assume que o seu espaço de trabalho tem a federação de identidade ativada, que é o padrão para a maioria dos espaços de trabalho. Para informações sobre espaços de trabalho legados sem federação de identidade, veja Espaços de trabalho legados sem federação de identidade.
Agrupar fontes
Os grupos do Azure Databricks são classificados em quatro categorias com base em sua origem, que é mostrada na coluna Origem da lista de grupos
| Fonte | Descrição |
|---|---|
| Conta | Pode ser concedido acesso a dados numa metastore do Unity Catalog, funções atribuídas em principais e grupos de serviço, permissões para espaços de trabalho e permissões para objetos de trabalho. Os membros herdam permissões de objetos no espaço de trabalho de todos os grupos de contas dos quais são membros, independentemente de o grupo estar atribuído a esse espaço de trabalho. Esses são os grupos principais para gerenciar o acesso na conta do Azure Databricks. |
| externa | Criado no Azure Databricks a partir do seu provedor de identidade. Esses grupos permanecem sincronizados com seu IdP (como o Microsoft Entra ID). Os grupos externos também são considerados grupos de contas. |
| Sistema | Criado e mantido pelo Azure Databricks. Cada conta inclui um account users grupo que inclui todos os utilizadores e os principais responsáveis do serviço. Cada espaço de trabalho tem dois grupos de sistemas: users (todos os principais têm acesso ao espaço de trabalho) e admins (administradores do espaço de trabalho). Os grupos do sistema não podem ser eliminados nem ter as suas subvenções de direito modificadas. |
| Área de trabalho | Conhecidos como grupos locais de espaço de trabalho, esses são grupos herdados que foram usados apenas dentro do espaço de trabalho no qual foram criados. Eles não podem ser atribuídos a outros espaços de trabalho, nem ter acesso concedido a dados do Catálogo Unity, nem serem atribuídos a funções no nível da conta. O Databricks recomenda a conversão de grupos locais de espaço de trabalho em grupos de contas para uma funcionalidade mais ampla. |
Observação
A partir de 15 de junho de 2026, a Databricks está a implementar um novo comportamento em que os direitos de espaço de trabalho são concedidos explicitamente quando os principais são adicionados a um espaço de trabalho, e os grupos de sistemas de espaço de trabalho (users e admins) deixam de transportar direitos atribuíbles. O users grupo não terá direitos, e admins o grupo terá todos os direitos ao espaço de trabalho. Os direitos de ambos os grupos estão bloqueados. Os direitos existentes em users são automaticamente migrados para um grupo clone local de espaço de trabalho, para que os principais mantenham o seu acesso. O novo comportamento é ativado automaticamente a partir de 27 de julho de 2026 para espaços de trabalho que não optaram por aderir ou sair, e aplicado para todos os espaços de trabalho a partir de 14 de setembro de 2026. Para mais informações, consulte Mudança de comportamento iminente: Escolha direitos ao adicionar princípios aos espaços de trabalho.
Quando a gestão automática de identidade está ativada, os grupos do seu fornecedor de identidade ficam visíveis na consola da conta e na página de definições de administrador do espaço de trabalho. O respetivo estado reflete a respetiva atividade e estado entre o seu fornecedor de identidade e o Azure Databricks. Consulte os estados dos utilizadores e dos grupos.
Quem pode gerir grupos?
Para criar grupos no Azure Databricks, você deve ser:
- Um administrador de conta
- Um administrador de espaço de trabalho
Para gerenciar grupos no Azure Databricks, você deve ter a função de gerente de grupo (Visualização Pública) em um grupo. Esta função permite-lhe:
- Gerir filiação ao grupo
- Eliminar grupos
- Atribuir a função de gestor de grupo a outros utilizadores
Por predefinição:
- Os administradores de conta têm automaticamente a função de gestor de grupo para todos os grupos.
- Os administradores de espaço de trabalho têm automaticamente a função de gestor de grupo nos grupos que criam.
As funções de gerente de grupo podem ser configuradas por:
- Administradores de conta, usando o console de conta
- Administradores de espaço de trabalho, usando a página de configurações de administração do espaço de trabalho
- Gerentes de grupo não administradores, usando a API de Controle de Acesso de Contas
Os administradores de espaço de trabalho também podem criar e gerenciar grupos locais de espaço de trabalho herdados.
Sincronizar grupos com a sua conta do Azure Databricks a partir do Microsoft Entra ID
O Databricks recomenda sincronizar grupos da ID do Microsoft Entra com sua conta do Azure Databricks.
Você pode sincronizar grupos a partir do seu ID do Microsoft Entra automaticamente ou usando um conector de provisionamento SCIM.
O gerenciamento automático de identidades permite adicionar usuários, entidades de serviço e grupos do Microsoft Entra ID ao Azure Databricks sem configurar um aplicativo no Microsoft Entra ID. O Databricks usa a ID do Microsoft Entra como fonte de registro, portanto, quaisquer alterações em usuários ou associações de grupo são respeitadas no Azure Databricks. O gerenciamento automático de identidades oferece suporte a grupos aninhados. O gerenciamento automático de identidades é habilitado por padrão para contas criadas após 1º de agosto de 2025. Para mais detalhes, consulte Gestão automática de identidades.
O provisionamento SCIM permite configurar um aplicativo corporativo no Microsoft Entra ID para manter os usuários e grupos sincronizados com o Microsoft Entra ID. O provisionamento SCIM não oferece suporte a grupos aninhados. Para obter instruções, consulte Sincronizar usuários e grupos do Microsoft Entra ID usando SCIM.