此頁面說明如何管理 Azure Databricks 帳戶和工作區的群組。
如需群組的概觀,請參閱 群組。
Note
這個頁面假設你的工作區啟用了身份聯盟,這是大多數工作區的預設功能。 有關無身份聯邦的舊有工作空間資訊,請參見 無身份聯邦的舊有工作空間。
將群組從 Microsoft Entra ID 租戶同步至 Azure Databricks 帳戶
您可以將群組從您的 Microsoft Entra ID 租戶自動同步至 Azure Databricks 帳戶,或使用 SCIM 佈建連接器進行同步。
自動身分識別管理 可讓您將使用者、服務主體和群組從 Microsoft Entra ID 新增至 Azure Databricks,而不需要在 Microsoft Entra ID 中設定應用程式。 Databricks 會使用 Microsoft Entra ID 作為記錄來源,因此 Azure Databricks 中會遵守使用者或群組成員資格的任何變更。 自動身分識別管理支援巢狀群組。 預設情況下,自動身分管理會針對 2025 年 8 月 1 日之後建立的帳戶啟用。 如需詳細資訊,請參閱 從 Microsoft Entra ID 自動同步使用者和群組。
SCIM 布建 可讓您在 Microsoft Entra ID 中設定企業應用程式,讓使用者和群組與 Microsoft Entra 識別元保持同步。 SCIM 佈建不支援巢狀群組。 如需說明,請參閱 使用 SCIM 從 Microsoft Entra ID 同步使用者和群組。
將群組新增至您的帳戶
帳戶管理員和工作區管理員可以使用帳戶控制台或工作區管理員設定頁面,將群組新增至 Azure Databricks 帳戶。
帳戶主控台
- 身為帳戶管理員,登入帳戶主控台。
- 在側邊欄中,按一下 [使用者管理]。
- 在 [群組] 索引標籤上,按一下 [新增群組]。
- 輸入此群組的名稱。
- 按一下 [確認]。
- 出現提示時,將使用者、服務主體和群組新增至群組。
工作區管理員設定
- 身為工作區管理員,登入 Azure Databricks 工作區。
- 按下 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [設定]。
- 點擊 身分識別和存取 標籤。
- 在 [群組] 旁邊,按一下 [管理]。
- 按一下 [新增群組]。
- 按兩下 [新增]。
- 輸入此群組的名稱。
- 按下 新增。
將成員新增至群組
帳戶管理員和工作區管理員可以使用帳戶控制台或工作區管理員設定頁面,將群組新增至 Azure Databricks 帳戶。 非工作區管理員的群組管理員必須使用帳戶群組 API 來管理群組成員資格。
Note
若要讓外部群組與 Microsoft Entra 識別碼保持同步,您預設無法在帳戶控制台中管理外部群組的成員資格。 若要在 Azure Databricks UI 中更新外部群組成員資格,帳戶管理員可以在帳戶主控台預覽頁面中停用 不可變的外部群組預覽。 即使停用不可變的外部群組預覽,也無法在 Azure Databricks 中更新使用自動身分識別管理的外部群組。
帳戶主控台
- 身為帳戶管理員,登入帳戶主控台。
- 在側邊欄中,按一下 [使用者管理]。
- 在 [群組] 索引標籤上,選取您要更新的群組。
- 按一下 [新增成員]。
- 搜尋您想要新增的使用者、群組或服務主體,然後將其選定。
- 按下 新增。
更新群組與跨所有系統完全傳播的群組成員資格之間有幾分鐘的延遲。
工作區管理員設定
Note
您無法將子群組新增至 admins 群組。 您無法將工作區本機群組或系統群組新增為帳戶群組的成員。
- 身為工作區管理員,登入 Azure Databricks 工作區。
- 按下 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [設定]。
- 點擊 身分識別和存取 標籤。
- 在 [群組] 旁邊,按一下 [管理]。
- 選取您要更新的群組。 您必須在群組上擁有群組管理員角色才能更新它。
- 在 [成員] 索引標籤上,按一下 [新增成員]。
- 在對話框中,流覽或搜尋您要新增的用戶、服務主體和群組,並加以選取。
- 按一下 [確認]。
變更群組名稱
帳戶管理員可以使用帳戶控制台更新 中的群組名稱,而群組管理員可以使用 帳戶群組 API 來更新群組的名稱。 若要讓外部群組與 Microsoft Entra 識別碼保持同步,您預設無法在帳戶控制台中更新外部群組的名稱。
帳戶主控台
- 身為帳戶管理員,登入帳戶主控台。
- 在側邊欄中,按一下 [使用者管理]。
- 在 [群組] 索引標籤上,選取您要更新的群組。
- 按一下 [群組資訊]。
- 在 [名稱] 底下,更新名稱。
- 點選 [儲存]。
帳戶群組 API
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
{
"op": "replace",
"path": "displayName",
"value": "<updated-name>"
}
}
]
}
如需如何向帳戶群組 API 進行驗證的資訊,請參閱 授權存取 Azure Databricks 資源。
將群組指派給工作區
帳戶管理員和工作區管理員可以使用帳戶控制台或工作區管理員設定頁面,將群組指派給 Azure Databricks 工作區。
帳戶主控台
工作區-本地群組無法透過帳號主控台指派到工作區。
- 身為帳戶管理員,登入帳戶主控台。
- 在側邊欄中,按一下 [工作區]。
- 按一下工作區的名稱。
- 在 [權限] 索引標籤中,按一下 [新增權限]。
- 搜尋並選取群組,指派權限等級 (工作區使用者或管理員),然後按一下 [儲存]。
工作區管理員設定
- 身為工作區管理員,登入 Azure Databricks 工作區。
- 按下 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [設定]。
- 點擊 身分識別和存取 標籤。
- 在 [群組] 旁邊,按一下 [管理]。
- 按一下 [新增群組]。
- 選取要指派給工作區的現有群組。
- 按下 新增。
從工作區移除群組
從工作區移除帳戶群組後,群組成員就無法再存取工作區,不過權限仍保留在群組上。 如果群組稍後新增回工作區,群組會重新取得其先前的權限。
帳戶管理員和工作區管理員可以使用帳戶控制台或工作區管理員設定頁面,從 Azure Databricks 工作區移除群組。
帳戶主控台
您無法使用帳戶主控台從工作區移除工作區-本地組。
- 身為帳戶管理員,登入帳戶主控台。
- 在側邊欄中,按一下 [工作區]。
- 按一下工作區的名稱。
- 在 [權限] 索引標籤上,找到群組。
- 按一下
群組列最右邊的 kebab 選單,然後選取 移除。 - 在確認對話框中,按兩下 [移除]。
工作區管理員設定
Note
你無法移除那些透過加入其他群組間接分配到工作區的群組。 要移除這些群組,必須先從父群組移除,或在帳號層級移除。
- 身為工作區管理員,登入 Azure Databricks 工作區。
- 按下 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [設定]。
- 點擊 身分識別和存取 標籤。
- 在 [群組] 旁邊,按一下 [管理]。
- 選取全組,然後按一下 [x 刪除]
- 按一下 [刪除] 以確認。
管理群組上的角色
Important
這項功能目前處於 公開預覽版。
帳戶管理員可以在帳戶控制台中的群組上授與角色,而工作區系統管理員可以使用工作區系統管理員設定頁面來管理群組角色。 非工作區管理員的群組管理員可以使用帳戶存取控制 API 來管理群組角色。
帳戶主控台
- 身為帳戶管理員,登入 帳戶控制台。
- 在側邊欄中,按一下 [使用者管理]。
- 在 [群組] 索引標籤上,找到並按一下群組名稱。
- 按一下 權限 索引標籤。
- 請按 授予存取權。
- 搜尋並選取使用者、服務主體或群組,然後選擇 [群組:管理員] 角色。
- 點選 [儲存]。
工作區管理員設定
您無法在帳戶群組中指派工作區的本地群組或系統群組的角色。
- 身為工作區管理員,登入 Azure Databricks 工作區。
- 按下 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [設定]。
- 點擊 身分識別和存取 標籤。
- 在 [群組] 旁邊,按一下 [管理]。
- 選取您要更新的群組。 您必須在群組上擁有群組管理員角色才能更新它。
- 按一下 權限 索引標籤。
- 請按 授予存取權。
- 搜尋並選取使用者、服務主體或群組,然後選擇 [群組:管理員] 角色。
- 點選 [儲存]。
將帳戶管理員角色指派給群組
您無法使用帳戶主控台將帳戶管理員角色指派給群組,但您可以使用 帳戶群組 API 將它指派給群組。 例如:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "add",
"path": "roles",
"value": [
{
"value": "account_admin"
}
]
}
]
}
如需如何向帳戶群組 API 進行驗證的資訊,請參閱 授權存取 Azure Databricks 資源。
檢視父群組
- 身為工作區管理員,登入 Azure Databricks 工作區。
- 按下 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [設定]。
- 按一下 [身分識別與存取] 索引標籤。
- 在 [群組] 旁邊,按一下 [管理]。
- 選取您想要監視的群組。
- 在 [父群組] 索引標籤上,檢視您群組的父群組。
從 Azure Databricks 帳戶移除群組
帳戶管理員可以從 Azure Databricks 帳戶中移除群組。 群組管理員也可以使用帳戶群組 API 從帳戶中移除群組,請參閱 使用 API 管理群組。 如果您使用帳戶主控台移除群組,您必須確定也使用已針對帳戶設定的任何 SCIM 佈建連接器或 SCIM API 應用程式移除該群組。 如果您不這麼做,SCIM 布建只會在下次同步處理時將群組及其成員新增回來。 請參閱 使用 SCIM 從 Microsoft Entra ID 同步使用者和群組。
Important
當您移除群組時,該群組中的所有使用者都會從帳戶中刪除,並失去其有權存取的任何工作區的存取權 (除非他們是另一個群組的成員,或已直接被授與帳戶或任何工作區的存取權)。 建議您避免刪除帳戶層級群組,除非您希望他們失去對帳戶中所有工作區的存取權。 請注意下列刪除使用者的後果:
- 使用使用者所產生令牌的應用程式或腳本無法再存取 Databricks API。
- 用戶所擁有的作業失敗。
- 用戶所擁有的叢集會停止。
- 由該使用者安裝的連結庫無效,而且必須重新安裝。
- 使用者建立並使用「以擁有者身分執行」認證分享的查詢或儀錶板,必須指派給新的擁有者,以防止分享失敗。
若要使用帳戶主控台移除群組,請執行下列動作:
- 身為帳戶管理員,登入帳戶主控台。
- 在側邊欄中,按一下 [使用者管理]。
- 在 [群組] 索引標籤上,找到您要移除的群組。
- 按兩下 使用者列最右邊的kebab功能表,然後選取 [ 刪除]。
- 在確認對話方塊中,按一下 [確認刪除]。
Note
啟用自動身分識別管理時,帳戶控制台中會顯示Microsoft Entra標識碼中的群組。 群組會顯示為 非作用中: 如果尚未新增至工作區,則不會使用。 無法從群組清單中移除這些群組。 它們不計入團體限制。
使用 API 管理群組
帳戶管理員和工作區管理員及群組管理員可以使用帳戶群組 API,在 Azure Databricks 帳戶中新增、刪除和管理群組。 帳戶管理員和工作區管理員及群組管理員必須使用不同的端點 URL 叫用 API:
- 帳戶管理員使用
{account-domain}/api/2.1/accounts/{account_id}/scim/v2/。 - 工作區管理員與群組管理員使用
{workspace-domain}/api/2.0/account/scim/v2/。
如需詳細資訊,請參閱帳戶群組 API。
帳號與工作區管理員可以使用工作區指派 API 來指派群組到工作區。 透過 Azure Databricks 帳戶和工作區提供對工作區指派 API 的支援。
- 帳戶管理員使用
{account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments。 - 工作區管理員使用
{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}。
請參閱工作區指派 API。
使用 API 管理群組角色
Important
這項功能目前處於 公開預覽版。
群組管理員可以使用帳戶存取控制 API 來管理群組角色。 帳戶管理員和工作區管理員及群組管理員必須使用不同的端點 URL 叫用 API:
- 帳戶管理員使用
{account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles。 - 工作區管理員與群組管理員使用
{workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles。
請參閱帳戶存取控制 API 和帳戶存取控制工作區 Proxy API。
管理群組的 API 範例
下列範例示範工作區系統管理員如何使用 帳戶群組 API 和 工作區指派 API 來管理群組。 工作區系統管理員會使用 API 令牌向工作區進行驗證。
建立帳戶群組
curl --request POST \
--location '{workspace-domain}/api/2.0/account/scim/v2/Groups' \
--header 'Authorization: Bearer $OAUTH_TOKEN' \
--header 'Content-Type: application/json' \
--data '{
"displayName": "<group-name>"
}'
這會傳回新帳戶群組的群組標識碼。 將它儲存在下列 API 範例中以供參考。
將群組新增至工作區
下列範例會將一個群組新增至您的工作區,並設定該工作區的用戶許可權。 您也可以將 設定 permissions 為 [“ADMIN”],將工作區管理員角色授與群組。
curl --location --request PUT '{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group-id}' \
--header 'Authorization: Bearer $OAUTH_TOKEN' \
--header 'Content-Type: application/json' \
--data '{
"permissions": ["USER"]
}'
從工作區移除群組
下列範例會從工作區中移除群組。 從工作區移除群組並不會從帳戶中刪除群組。
Note
你無法移除那些透過加入其他群組間接分配到工作區的群組。 要移除這些群組,必須先從父群組移除,或在帳號層級移除。
curl --location --request PUT '{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group-id}' \
--header 'Authorization: Bearer $OAUTH_TOKEN' \
--header 'Content-Type: application/json' \
--data '{
"permissions": []
}'
將成員新增至群組
curl --location --request PATCH '{workspace-domain}/api/2.0/account/scim/v2/Groups/{group-id}' \
--header 'Authorization: Bearer $OAUTH_TOKEN' \
--header 'Content-Type: application/json' \
--data '{
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:PatchOp"
],
"Operations": [
{
"op": "add",
"value": {
"members": [
{
"value": "{user-id}"
}
]
}
}
]
}'