Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
На этой странице представлен обзор групп в Azure Databricks. Сведения об управлении группами см. в разделе "Управление группами".
Группы упрощают управление идентификацией, упрощая назначение доступа к рабочим областям, данным и другим защищаемым объектам. Все идентичности Databricks можно назначать членами групп.
Замечание
На этой странице предполагается, что в рабочей области включена федерация удостоверений. Это настройка по умолчанию для большинства рабочих областей. Сведения об устаревших рабочих областях без федерации удостоверений см. в статье Устаревшие рабочие области без федерации удостоверений.
Группировать источники
Группы Azure Databricks классифицируются по четырем категориям на основе их источника, который отображается в столбце "Источник " списка групп
| Исходный материал | Описание |
|---|---|
| Учетная запись | Можно предоставить доступ к данным в хранилище метаданных каталога Unity, назначить роли на служебных принципалах и группах и разрешения для рабочих областей. Это основные группы для управления доступом к учетной записи Azure Databricks. |
| внешние | Создано в Azure Databricks у вашего поставщика удостоверений. Эти группы синхронизируются с провайдером удостоверений (например, Microsoft Entra ID). Внешние группы также считаются группами учетных записей. |
| Система | Создано и поддерживается Azure Databricks. Каждая учетная запись включает группу account users , содержащую всех пользователей и субъектов-служб. Каждая рабочая область имеет две системные группы: users (все члены рабочей области) и admins (администраторы рабочей области). Не удается удалить системные группы. |
| Рабочая область | Известные как локальные группы рабочей области, являются устаревшими группами, которые использовались только в рабочей области, в которой они были созданы. Они не могут быть назначены другим рабочим областям, предоставлен доступ к данным каталога Unity или назначенным ролям на уровне учетной записи. Databricks рекомендует преобразовать локальные группы рабочей области в группы учетных записей для более широких функциональных возможностей. |
При включении автоматического управления удостоверениями группы из Microsoft Entra ID становятся видимы в консоли учетной записи и на странице настроек администратора рабочего пространства. Их статус отражает их активность и состояние между Microsoft Entra ID и Azure Databricks. См. сведения о состоянии пользователей и групп.
Кто может управлять группами?
Чтобы создать группы в Azure Databricks, необходимо:
- Администратор учетной записи
- Администратор рабочей области
Для управления группами в Azure Databricks необходимо иметь роль диспетчера групп (общедоступная предварительная версия) в группе. Эта роль позволяет:
- Управление членством в группах
- Удаление групп
- Назначение роли диспетчера групп другим пользователям
По умолчанию:
- Администраторы учетных записей автоматически имеют роль диспетчера групп для всех групп.
- Администраторы рабочей области автоматически имеют роль диспетчера групп в группах, которые они создают.
Роли диспетчера групп можно настроить следующим образом:
- Администраторы учетных записей, используя консоль учетной записи
- Администраторы рабочей области с помощью страницы параметров администратора рабочей области
- Диспетчеры групп, не являющихся администраторами, с помощью API управления доступом учетных записей
Администраторы рабочей области также могут создавать устаревшие группы рабочей области и управлять ими.
Синхронизируйте группы с учетной записью в Azure Databricks из Microsoft Entra ID
Databricks рекомендует синхронизировать группы из идентификатора Microsoft Entra с учетной записью Azure Databricks.
Вы можете синхронизировать группы из идентификационной системы Microsoft Entra автоматически или с помощью коннектора для подготовки SCIM.
Автоматическое управление удостоверениями позволяет добавлять пользователей, служебных принципалов и группы из Microsoft Entra ID в Azure Databricks без настройки приложения в Microsoft Entra ID. Databricks использует идентификатор Microsoft Entra в качестве источника записи, поэтому любые изменения членства пользователей или групп учитываются в Azure Databricks. Автоматическая система управления удостоверениями поддерживает вложенные группы. Автоматическое управление удостоверениями по умолчанию включено для учетных записей, созданных после 1 августа 2025 г. Дополнительные сведения см. в статье Синхронизация пользователей и групп автоматически из идентификатора Microsoft Entra ID.
Подготовка SCIM позволяет настроить корпоративное приложение в Microsoft Entra ID для синхронизации пользователей и групп с Microsoft Entra ID. Предоставление SCIM не поддерживает вложенные группы. Инструкции см. в разделе Синхронизация пользователей и групп из идентификатора Microsoft Entra с помощью SCIM.