本頁提供 Azure Databricks 中群組的概觀。 如需如何管理群組,請參閱 管理群組。
群組可讓您更輕鬆地指派工作區、資料和其他安全物件的存取權,藉以簡化身分識別管理。 所有 Databricks 身分識別都可以設定為群組的成員。
備註
這個頁面假設你的工作區啟用了身份聯盟,這是大多數工作區的預設功能。 有關無身份聯邦的舊有工作空間資訊,請參見 無身份聯邦的舊有工作空間。
群組來源
Azure Databricks 群組會根據其來源分類為四個類別,如群組清單的 [ 來源 ] 資料行所示
![[系統管理員設定] 頁面中的 [群組] 清單。](../../_static/images/identity/groups.png)
| 來源 | 說明 |
|---|---|
| 帳戶 | 可以授予存取 Unity Catalog Metastore 的資料權限,並指派服務主體與群組的角色,以及工作空間的使用權限。 這些是管理跨 Azure Databricks 帳戶存取的主要群組。 |
| 外部 | 由您的識別提供者在 Azure Databricks 中創建。 這些群組會與您的IdP保持同步處理(例如Microsoft Entra ID)。 外部群組也會被視為帳戶群組。 |
| 系統 | 由 Azure Databricks 建立和維護。 每個帳戶都包含包含 account users 所有使用者的群組。 每個工作區都有兩個系統群組: users (所有工作區成員)和 admins (工作區管理員)。 系統群組無法刪除。 |
| 工作空間 | 稱為工作區域本地群組,這些是只能在創建它們的工作區中使用的舊版群組。 它們無法指派給其他工作區、授予 Unity Catalog 數據的存取權,也不能指派帳戶層級角色。 Databricks 建議將工作區本地組轉換成帳戶群組,以獲得更廣泛的功能。 |
啟用自動身份管理時,Microsoft Entra ID 的群組會在帳號主控台及工作區管理員設定頁面中顯示。 他們的狀態反映其在 Microsoft Entra ID 與 Azure Databricks 之間的活動與狀態。 請參閱 使用者與群組狀態。
誰可以管理群組?
若要在 Azure Databricks 中建立群組,您必須是:
- 帳戶管理員
- 工作空間管理員
若要管理 Azure Databricks 中的群組,您必須在群組上擁有 群組管理員 角色(公開預覽)。 這個角色可讓您:
- 管理群組成員
- 刪除群組
- 將群組管理員角色指派給其他使用者
預設情況:
- 帳戶管理員會自動擁有所有群組的群組管理員角色。
- 工作區系統管理員會自動在他們建立的群組上擁有群組管理員角色。
群組管理員的角色可以透過以下方式配置:
- 使用帳戶主控台的帳戶管理員
- 工作區系統管理員使用工作區管理員設定頁面
- 非管理員的群組管理者使用帳戶訪問控制 API
工作區系統管理員也可以建立及管理舊版 工作區本地組。
從 Microsoft Entra 識別符將群組同步至 Azure Databricks 帳戶
Databricks 建議將群組從 Microsoft Entra ID 同步至您的 Azure Databricks 帳戶。
您可以從 Microsoft Entra ID 自動同步群組,或使用 SCIM 佈建連接器同步群組。
自動身分識別管理 可讓您將使用者、服務主體和群組從 Microsoft Entra ID 新增至 Azure Databricks,而不需要在 Microsoft Entra ID 中設定應用程式。 Databricks 會使用 Microsoft Entra ID 作為記錄來源,因此 Azure Databricks 中會遵守使用者或群組成員資格的任何變更。 自動身分識別管理支援巢狀群組。 預設情況下,自動身分管理會針對 2025 年 8 月 1 日之後建立的帳戶啟用。 如需詳細資訊,請參閱 從 Microsoft Entra ID 自動同步使用者和群組。
SCIM 布建 可讓您在 Microsoft Entra ID 中設定企業應用程式,讓使用者和群組與 Microsoft Entra 識別元保持同步。 SCIM 佈建不支援巢狀群組。 如需說明,請參閱 使用 SCIM 從 Microsoft Entra ID 同步使用者和群組。