本文說明如何新增、更新和移除 Azure Databricks 使用者。
如需 Azure Databricks 身分識別模型的概觀,請參閱 Azure Databricks 身分識別。
若要管理使用者的存取權,請參閱驗證和存取控制。
注意
這個頁面假設你的工作區啟用了身份聯盟,這是大多數工作區的預設功能。 有關無身份聯邦的舊有工作空間資訊,請參見 無身份聯邦的舊有工作空間。
誰可以管理使用者?
若要管理 Azure Databricks 中的使用者,您必須是帳戶管理員或工作區管理員。
帳戶管理員可以將使用者新增至帳戶,並指派系統管理員角色。 他們也能將使用者指派到工作區,並為使用者設定跨工作區的資料存取。
工作區管理員可以將使用者新增至 Azure Databricks 工作區、指派工作區系統管理員角色,以及管理工作區中物件和功能的存取權,例如建立叢集或存取指定角色型環境的能力。 將使用者新增至 Azure Databricks 工作區也會將它們新增至帳戶。
工作區管理員是工作區中
admins群組的成員,這是無法刪除的保留群組。具有 Azure 內建擁有者或貢獻者角色的使用者,或具有 必要 Azure 系統管理員權限的自訂角色, 在 Azure 入口網站中按一下 [啟動工作區] 時,會自動被指派為工作區管理員角色。 如需詳細資訊,請參閱何謂工作區管理員?。
從 Microsoft Entra ID 租用戶將使用者同步至您的 Azure Databricks 帳戶
您可以將使用者從 Microsoft Entra ID 租用戶自動同步至 Azure Databricks 帳戶,或使用 SCIM 布建連接器進行同步。
自動身分識別管理 可讓您將使用者、服務主體和群組從 Microsoft Entra ID 新增至 Azure Databricks,而不需要在 Microsoft Entra ID 中設定應用程式。 Databricks 會使用 Microsoft Entra ID 作為記錄來源,因此 Azure Databricks 中會遵守使用者或群組成員資格的任何變更。 預設情況下,自動身分管理會針對 2025 年 8 月 1 日之後建立的帳戶啟用。 如需詳細資訊,請參閱 從 Microsoft Entra ID自動同步使用者和群組。
SCIM 布建 可讓您在 Microsoft Entra 識別碼中設定企業應用程式,讓使用者和群組與 Microsoft Entra ID 保持同步。 如需指示,請參閱 從 Microsoft Entra ID 使用 SCIM同步處理使用者和群組。
將使用者新增至您的帳戶
帳戶主控台
帳戶管理員可以使用帳戶主控台,將使用者新增至您的 Azure Databricks 帳戶。 Azure Databricks 帳戶中的使用者對工作區、資料或計算資源沒有任何預設存取權。 使用者不能屬於超過 50 個 Azure Databricks 帳戶。
- 身為帳戶管理員,登入帳戶主機。
- 在側邊欄中,按一下 [使用者管理]。
- 在 [使用者] 索引標簽中,按一下 [新增使用者]。
- 輸入使用者的名稱和電子郵件地址。
- 按一下 [新增使用者] 。
工作區管理員設定
身為工作區管理員,登入 Azure Databricks 工作區。
按下 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [設定]。
按一下 [身分識別與存取] 索引標籤。
按一下 使用者 旁邊的 管理。
按一下 [新增使用者] 。
按兩下 [新增]。
輸入該使用者的電子郵件地址。
您可以新增任何屬於 Azure Databricks 工作區的 Microsoft Entra ID 租用戶的使用者。 將新使用者新增至工作區,也會將使用者新增至 Azure Databricks 帳戶。
按一下新增。
將帳戶管理員角色指派給使用者
注意
[ 使用者 詳細資料頁面] 只會顯示直接指派給使用者的角色。 透過群組成員資格繼承的角色是活躍的,但在UI中切換功能並未顯示為已啟用。
- 身為帳戶管理員,登入帳戶主機。
- 在側邊欄中,按一下 [使用者管理]。
- 尋找並按下使用者名稱。
- 在 [ 角色] 索引標籤上,選取一或多個角色。
將使用者指派給工作區
帳戶管理員和工作區管理員可以使用帳戶控制台或工作區管理員設定頁面,將服務主體指派給 Azure Databricks 工作區。
帳戶主控台
- 身為帳戶管理員,登入帳戶主機。
- 在側邊欄中,按一下 [工作區]。
- 按一下工作區的名稱。
- 在 [權限] 索引標籤中,按一下 [新增權限]。
- 搜尋並選取使用者、指派許可權等級(工作區
使用者 或系統管理員 ),然後按兩下 [儲存]。
工作區管理員設定
- 身為工作區管理員,登入 Azure Databricks 工作區。
- 按下 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [設定]。
- 按一下 [身分識別與存取] 索引標籤。
- 按一下 使用者 旁邊的 管理。
- 按一下 [新增使用者] 。
- 選取一位現有的使用者來指派到工作區,或按一下 新增 來建立新的使用者。
- 按一下新增。
從工作區移除使用者
從工作區移除使用者時,使用者就無法再存取工作區,不過會維護使用者的權限。 如果使用者稍後新增回工作區,則他們會重新取得其先前的權限。
帳戶主控台
- 身為帳戶管理員,登入帳戶主機。
- 在側邊欄中,按一下 [工作區]。
- 按一下工作區的名稱。
- 在 [權限] 索引標籤中,尋找使用者。
- 按兩下
使用者列最右邊的kebab功能表,然後選取[ 移除]。 - 在確認對話框中,按 [移除]。
工作區管理員設定
- 身為工作區管理員,登入 Azure Databricks 工作區。
- 按下 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [設定]。
- 按一下 [身分識別與存取] 索引標籤。
- 按一下 使用者 旁邊的 管理。
- 尋找使用者和 使用者列最右邊的 kebab 功能表,然後選取 [ 移除]。
- 按一下 [刪除] 以確認。
將工作區管理員角色指派給使用者
- 身為工作區管理員,登入 Azure Databricks 工作區。
- 按下 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [設定]。
- 按一下 [身分識別與存取] 索引標籤。
- 按一下 使用者 旁邊的 管理。
- 選取使用者。
- 在 [權利] 底下,開啟 [ 系統管理員存取]。
若要從工作區用戶移除工作區管理員角色,請執行相同的步驟,但關閉 管理員存取權 開關。
停用使用者
您可以在帳戶或工作區層級停用使用者。
帳戶管理員可以停用 Azure Databricks 帳戶中的使用者。 停用可防止使用者驗證和存取帳戶、工作區或 Databricks API,但不會移除其許可權或物件。 比起移除,這更好,因為移除是一種破壞性的行為。
停用的效果:
- 使用者無法驗證或存取 Databricks UI 或 API。
- 使用使用者所產生的令牌的應用程式或腳本將無法再存取 Databricks API。 權杖會被保留,但當使用者被停用時,無法用來進行驗證。
- 使用者所擁有的計算資源仍會繼續執行。
- 除非指派給新的擁有者,否則使用者所建立的排程工作會失敗。
重新啟用時,用戶會以相同的許可權重新取得存取權。
帳戶層級停用
帳戶管理員可以停用 Azure Databricks 帳戶中的使用者。 當使用者在帳戶層級停用時,他們無法向 Azure Databricks 帳戶或帳戶中的任何工作區進行驗證。
您無法使用帳戶主控台停用使用者。 請改用帳戶使用者 API。 例如:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .
update-user.json:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "replace",
"path": "active",
"value": [
{
"value": "false"
}
]
}
]
}
工作區層級停用
當使用者在工作區層級停用時,他們無法向該特定工作區進行驗證,但仍然可以向帳戶和其他帳戶工作區進行驗證。
您無法使用工作區管理員設定頁面來停用使用者。 請改用工作區使用者 API。 例如:
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .
update-user.json:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "replace",
"path": "active",
"value": [
{
"value": "false"
}
]
}
]
}
從 Azure Databricks 帳戶移除使用者
帳戶管理員可以從 Azure Databricks 帳戶中刪除使用者。 工作區管理員無法。 當您從帳戶中刪除使用者時,也會從其工作區中移除該使用者。 如果您使用帳戶主控台移除使用者,您必須確定您也使用已為帳戶設定的任何 SCIM 布建連接器或 SCIM API 應用程式來移除使用者。 如果您未這麼做,SCIM 佈建會在下次同步處理時將使用者新增回 。 請參閱 使用 SCIM 從 Microsoft Entra ID 同步使用者和群組。
重要
當您從帳戶中移除使用者時,不論是否已啟用身分識別同盟,該使用者也會從其工作區中移除。 除非您希望帳戶層級使用者失去帳戶中所有工作區的存取權,否則建議不要刪除它們。 請注意下列刪除使用者的後果:
- 使用使用者所產生令牌的應用程式或腳本無法再存取 Databricks API。
- 用戶所擁有的作業失敗。
- 用戶所擁有的叢集會停止。
- 由該使用者安裝的連結庫無效,而且必須重新安裝。
- 使用者建立並使用「以擁有者身分執行」認證分享的查詢或儀錶板,必須指派給新的擁有者,以防止分享失敗。
從帳戶中移除使用者時,使用者就無法再存取帳戶或其工作區,不過會維護使用者的權限。 如果使用者稍後新增回帳戶,則它們會重新取得其先前的權限。
若要使用帳戶主控台移除使用者,請執行下列動作:
- 身為帳戶管理員,登入帳戶主控台。
- 在側邊欄中,按一下 [使用者管理]。
- 尋找並按下使用者名稱。
- 在 用戶資訊 索引標籤上,單擊右上角的 ,然後選取 刪除。
- 在確認對話方塊中,按一下 [確認刪除]。
注意
啟用自動身分管理時,Microsoft Entra ID中的使用者將會顯示在帳戶控制台中。 其狀態會顯示為 非使用中:沒有使用方式 ,且無法從使用者清單中移除。 它們不在帳戶中,而且不會計入使用者限制。
使用 API 管理使用者
帳戶管理員和工作區管理員可以使用 Databricks API 來管理 Azure Databricks 帳戶和工作區中的使用者。
使用 API 管理帳戶中的使用者
管理員可以使用帳戶使用者 API,在 Azure Databricks 帳戶中新增及管理使用者。 帳戶管理員和工作區管理員可使用不同的端點 URL 來叫用 API:
- 帳戶管理員使用
{account-domain}/api/2.1/accounts/{account_id}/scim/v2/。 - 工作區管理員使用
{workspace-domain}/api/2.0/account/scim/v2/。
如需詳細資訊,請參閱帳戶使用者 API。
使用 API 管理工作區中的使用者
帳號與工作區管理員可以使用 Workspace Assignment API 來指派使用者到工作區。 透過 Azure Databricks 帳戶和工作區來支援工作區指派 API。
- 帳戶管理員使用
{account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments。 - 工作區管理員使用
{workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}。
請參閱工作區指派 API。
注意
對於沒有身份聯盟的舊有工作區,工作區管理員可以使用 Workspace Users API 來指派使用者到他們的工作區。