本頁說明可套用於 AI/BI 產品的帳戶及工作區層級管理控制。
管理儀錶板和 Genie 存取權限
使用者在工作區層級會獲得權限,控制他們如何與 Azure Databricks 工作區互動。 如需每個存取類型的詳細資訊 ,請參閱管理權利 。
儀表板與 Genie 空間可安全分享給以下使用者類型:
-
工作區用戶:許可權的範圍會限定於其為成員的工作區。 若要存取多個工作區,必須將這些工作區個別新增至每個工作區。 其存取權是由決定其與數據資產互動方式的權利所控制。
- 透過 Databricks SQL 存取 權限:使用者可以建立新的儀表板和 Genie 空間。 您可以授與存取權,以檢視、編輯及管理草稿和已發佈的儀錶板。 您可以授與存取權,以便訪問受到計算資源和 Unity Catalog 管控的資料。
- 使用 消費者存取 權限:用戶可以獲得已發佈儀表板的訪問權限。 您可以授與存取權,以便訪問受到計算資源和 Unity Catalog 管控的資料。 若要深入瞭解,請參閱 什麼是取用者存取?。
- 帳戶使用者:可以授予具有共用資料權限的已發佈儀表板的存取權。 帳號使用者必須註冊到您的 Azure Databricks 帳號,但他們不需要存取任何額外資源或加入工作區。 帳號使用者可被指定為帳號內任何工作區儀表板或 Genie Spaces 的收件人。 請參閱 共用儀表板 ,以進一步了解已發佈的儀表板和共用資料權限。
若要將新使用者的預設工作區存取權改為消費者存取,請參見 將預設工作區存取權改為消費者存取。 欲了解更多關於權利的資訊,請參閱 管理權利。
依存取類型的功能
下表摘要說明與每個存取類型相關聯的功能:
| 能力 | 帳戶成員存取 | 消費者存取 | Databricks SQL 存取權 |
|---|---|---|---|
| 檢視/執行資訊面板 | ✓ | ✓ | ✓ |
| 瀏覽/運行精靈空間 | ✓ | ✓ | ✓ |
| 在檢視上強制執行數據列和數據行層級安全性 | ✓ | ✓ | |
| 使用 BI 工具查詢 SQL 倉儲 | ✓ | ✓ | |
| 透過第三方 BI 工具存取 Unity 目錄控管的數據 | ✓ | ||
| 讀取/寫入 AI/BI 儀錶板 | ✓ | ||
| 讀寫精靈空間 | ✓ |
備註
帳號使用者可查看以共享或個別資料權限發布的儀表板。 然而,帳號使用者無法存取綁定工作區的可保護項目,例如綁定工作區的目錄。
網路考量
如果已設定IP存取清單,則只有在使用者從核准的IP範圍內存取它們時,才能存取儀表板,例如使用 VPN 時。 這適用於所有使用者,不論他們是否被指派到某個工作區。 如需設定存取權的詳細資訊,請參閱 管理IP存取清單。
使用者和群組管理
所有註冊於 Azure Databricks 的用戶都屬於你的 Azure Databricks 帳戶。 在 Azure Databricks 帳號註冊使用者會建立一個可驗證的身份,當該使用者瀏覽共享儀表板或 Genie Space 時,Azure Databricks 可以用來驗證身份。 將個別用戶組織成群組,可讓作者和編輯器更容易共用。 例如,作者可以與單一具名群組共用,而不是與帳戶中的每個使用者共用。
備註
使用者必須擁有適當的資料與運算權限,才能與 Genie 空間互動,而 Genie 空間僅能授予工作區使用者。
使用者也可以透過自動身份管理,與 Microsoft Entra ID 中的任何使用者、服務主體或群組共享儀表板。 當這些使用者、服務主體及群組成員被分享時,登入時會自動加入 Azure Databricks 帳號。 這些項目不會新增至儀錶板的原始來源工作區。 預設情況下,自動身分管理會針對 2025 年 8 月 1 日之後建立的帳戶啟用。 欲了解更多資訊,請參閱從 Microsoft Entra ID 自動同步使用者和群組。
使用者和群組可以存取零、一或多個工作區。 作者可以在共享儀表板或 Genie 空間時,將使用者和群組加入 有存取 權的人員清單,以便像其他工作區物件一樣分配特定權限。
針對儀錶板,他們可以使用下列其中一個選項來設定 共用設定 :
- 只有具有存取權的人員才能檢視
- 我的帳戶中的任何人都可以檢視
如果儀表板以共用資料許可權發佈,並與帳戶中的特定使用者、群組或所有使用者共用,則這些使用者可以存取它,無論他們是否有原始工作區的存取權。
下圖顯示工作區和帳戶層級的使用者和群組之間的關聯性。
除了帳戶註冊之外,不需要額外的設定。 使用者不需要指派給工作區,也不需要授與計算資源的存取權。
管理儀表板嵌入
使用者可以安全地將儀表板嵌入外部網站和應用程式中。 每個內嵌選項都需要工作區管理員來配置設定和權限。 欲了解如何管理嵌入設定,請參閱 管理儀表板與 Genie Space 嵌入。
Workspace 管理員訂閱控制
工作區管理員可以防止使用者使用訂閱分享儀表板。 變更此設定將防止所有使用者將電子郵件訂閱者新增到預定儀表板中。 儀表板編輯器無法新增訂閱者,而且儀表板查看器沒有訂閱排程儀表板的選項。
若要防止分享電子郵件更新通知:
- 在Azure Databricks工作區頂欄點擊你的使用者名稱,選擇Settings。
- 在 [ 設定] 提要欄位中,按兩下 [ 通知]。
- 關閉 [ 啟用儀錶板電子郵件訂閱 ] 選項。
如果此設定關閉,則會暫停現有的訂用帳戶,而且沒有人可以修改現有的訂用帳戶清單。 如果重新開啟此設定,訂閱會使用現有清單繼續。
設定 Slack 或 Microsoft Teams 通知
儀表板編輯者可以將 Slack 和 Microsoft Teams 頻道新增到排程訂閱者中。 在用戶可以將 Slack 或 Microsoft Teams 頻道訂閱到儀表板排程之前,請先以工作區管理員的身份設定 Slack 或 Microsoft Teams 為通知目的地。
Slack 與 Teams 訂閱會提供儀表板快照,其中包括:
- 儀表板的PNG影像快照,可直接在頻道中顯示
- 用於打開 Azure Databricks 儀表板的直接連結
- 訊息討論串中的 PDF 快照附件
關於建立應用程式、設定 OAuth 權限及設定儀表板訂閱通知目標的逐步說明,請參閱 配置 Slack 通知以設定 Slack 目標,以及 配置 Microsoft Teams 通知以設定 Microsoft Teams 目標。
下載控制件
Workspace 管理員可以透過以下步驟調整安全設定,防止使用者下載 dashboard 和 Genie Space 的結果:
- 在Azure Databricks工作區頂欄點擊你的使用者名稱,選擇Settings。
- 在 [ 設定 ] 提要欄位中,按兩下 [ 安全性]。
- 關閉 SQL 結果下載 選項。
轉移儀表板的擁有權
Workspace 管理員可以將儀表板的所有權轉移給不同的使用者或服務主體。
- 移至儀錶板清單。 按一下儀表板名稱以進行編輯。
- 按一下 [分享]。
- 按一下
,位於共用對話框的右上方。
- 開始輸入名字以搜尋並選擇新的所有者。 你可以選擇使用者或服務主體。
- 按一下 [確認]。
新的擁有者會出現在 [共用] 對話方塊中,並具有 CAN MANAGE 權限。 若要查看由擁有者列出的儀錶板,請按一下
儀錶板,前往可用儀錶板的清單。
監視 AI/BI 活動
警告
由於中斷,2025年10月16日至11月19日期間的部分儀表板稽核日誌可能遺失。
管理員可透過稽核日誌監控儀表板與 Genie Spaces 的活動。 請參閱 AI/BI 儀表板活動 與 Genie Space 活動。 如需示範如何存取稽核日誌資訊以回答常見問題的程式碼範例,請參閱 「監控 Genie Spaces 使用情況與稽核日誌與警示」。