Verwalten von Gruppen

In diesem Artikel erfahren Sie, wie Administratoren Azure Databricks-Gruppen erstellen und verwalten. Eine Übersicht über das Azure Databricks-Identitätsmodell finden Sie unter Azure Databricks-Identitäten.

Informationen zum Verwalten des Zugriffs für Gruppen finden Sie unter Authentifizierung und Zugriffssteuerung.

Übersicht über die Gruppenverwaltung

Gruppen vereinfachen die Identitätsverwaltung durch Erleichtern der Zuweisung des Zugriffs auf Arbeitsbereiche, Daten und andere sicherungsfähige Objekte. Alle Databricks-Identitäten können als Mitglieder von Gruppen zugewiesen werden.

Unterschied zwischen Kontogruppen und lokalen Arbeitsbereichsgruppen

In Azure Databricks gibt es das Konzept von Kontogruppen und arbeitsbereichslokalen Legacycgruppen.

• Kontogruppen kann der Zugriff auf Daten in einem Unity Catalog-Metastore, auf Rollen für Dienstprinzipale und Gruppen und auf Berechtigungen für identitätsverbundene Arbeitsbereiche zugewiesen werden.
• Arbeitsbereichslokale Gruppen sind Legacy-Gruppen. Diese Gruppen werden auf der Seite mit den Administratoreinstellungen des Arbeitsbereichs als arbeitsbereichslokal identifiziert. Arbeitsbereichslokale Gruppen können nicht zusätzlichen Arbeitsbereichen zugewiesen werden oder Zugriff auf Daten in einem Unity Catalog-Metastore erhalten. Arbeitsbereichslokalen Gruppen können keine Rollen auf Kontoebene zugewiesen werden. Weitere Informationen zu arbeitsbereichslokalen Gruppen finden Sie unter Verwalten von arbeitsbereichslokalen Gruppen (Legacy).

Es gibt zwei Systemgruppen in jedem Arbeitsbereich: users und admins. Alle Arbeitsbereichsbenutzer sind Mitglieder der Gruppe users, und alle Arbeitsbereichsadministratoren sind Mitglieder der Gruppe admins. Systemgruppen sind arbeitsbereichslokale Gruppen. Systemgruppen können nicht gelöscht werden.

Databricks empfiehlt, vorhandene arbeitsbereichslokale Gruppen in Kontogruppen zu verwandeln, damit die Vorteile der zentralisierten Arbeitsbereichszuweisung und Datenzugriffsverwaltung mithilfe von Unity Catalog genutzt werden kann. Siehe Migrieren arbeitsbereichslokaler Gruppen zu Kontogruppen.

Hinweis

Benutzer mit einer integrierten Rolle „Mitwirkender“ oder „Besitzer“ für die Arbeitsbereichsressource in Azure werden der Arbeitsbereichsgruppe admins automatisch zugewiesen. Weitere Informationen finden Sie unter Verwalten von Abonnements.

Wer kann Kontogruppen verwalten?

Zum Erstellen von Kontogruppen in Azure Databricks müssen Sie Kontoadministrator oder Arbeitsbereichsadministrator sein. Arbeitsbereichsadministratoren müssen sich in einem Identitätsverbundarbeitsbereich befinden, um eine Kontogruppe erstellen zu können.

Zum Verwalten von Kontogruppen in Azure Databricks müssen Sie über die Rolle Gruppenmanager für eine Gruppe verfügen. Gruppenmanager können die Gruppenmitgliedschaft verwalten und die Gruppe löschen. Sie können auch anderen Benutzern die Rolle „Gruppenmanager“ zuweisen. Kontoadministrator:innen können Gruppenrollen mithilfe der Kontokonsoleverwalten, und Arbeitsbereichsadministrator:innen können Gruppenrollen mithilfe der Seite mit den Einstellungen für Arbeitsbereichsadministrator:innenverwalten. Gruppenmanager, die keine Arbeitsbereichsadministratoren sind, können Gruppenrollen mithilfe der Access Control-API für Konten verwalten.

Kontoadministratoren verfügen über die Gruppenmanagerrolle auf Kontoebene, d. h., sie verfügen über die Gruppenmanagerrolle für alle Gruppen im Konto. Arbeitsbereichsadministratoren verfügen über die Rolle „Gruppenmanager“ für Kontogruppen, die sie erstellen.

Arbeitsbereichsadministratoren können auch arbeitsbereichslokale Gruppen erstellen und verwalten.

Synchronisieren von Gruppen mit Ihrem Azure Databricks-Konto von Ihrem Microsoft Entra ID (früher Azure Active Directory)-Mandanten

Sie können Gruppen aus Ihrem Microsoft Entra ID (früher Azure Active Directory)-Mandanten mit Ihrem Azure Databricks-Konto synchronisieren, indem Sie einen SCIM-Bereitstellungsconnector verwenden. Anweisungen finden Sie unter Bereitstellen von Identitäten für Ihr Azure Databricks-Konto mithilfe von Microsoft Entra ID (früher Azure Active Directory).

Wichtig

Wenn Sie SCIM-Connectoren haben, die Identitäten direkt mit Ihren Arbeitsbereichen synchronisieren und diese Arbeitsbereiche für den Identitätsverbund aktiviert sind, empfehlen wir Ihnen, diese SCIM-Connectoren zu deaktivieren, wenn der SCIM-Connector auf Kontoebene aktiviert ist. Wenn Sie über Arbeitsbereiche verfügen, die nicht den Identitätsverbund verwenden, müssen Sie weiterhin alle SCIM-Connectors verwenden, die Sie für diese Arbeitsbereiche konfiguriert haben, indem Sie sie parallel zum SCIM-Connector auf Kontoebene ausführen.

Verwalten von Kontogruppen mithilfe der Kontokonsole

Kontoadministratoren können Gruppen im Azure Databricks-Konto mithilfe der Kontokonsole hinzufügen und verwalten. Arbeitsbereichsadministrator*innen und Gruppenmanager*innen können Gruppen über die Seite mit den Arbeitsbereichseinstellungen und mithilfe von Databricks-APIs verwalten. Siehe Verwalten von Kontogruppen mithilfe der Seite „Administratoreinstellungen“ für Arbeitsbereiche und Verwalten von Kontogruppen mithilfe der API.

Hinzufügen von Gruppen zu Ihrem Konto mithilfe der Kontokonsole

Gehen Sie wie folgt vor, um dem Konto mithilfe der Kontokonsole eine Gruppe hinzuzufügen:

1. Melden Sie sich als Kontoadministrator bei der Kontokonsole an.
2. Klicken Sie in der Randleiste auf Benutzerverwaltung.
3. Klicken Sie auf der Registerkarte Gruppen auf Gruppe hinzufügen.
4. Geben Sie einen Namen für die Gruppe ein.
5. Klicken Sie auf Confirm (Bestätigen).
6. Wenn Sie dazu aufgefordert werden, fügen Sie Benutzer, Dienstprinzipale und Gruppen zu der Gruppe hinzu.

Hinzufügen von Mitgliedern zu einer Gruppe mithilfe der Kontokonsole

Gehen Sie wie folgt vor, um mithilfe der Kontokonsole Benutzer, Dienstprinzipale und Gruppen zu einer Gruppe hinzuzufügen:

1. Melden Sie sich als Kontoadministrator*in bei der Kontokonsole an.
2. Klicken Sie in der Randleiste auf Benutzerverwaltung.
3. Wählen Sie auf der Registerkarte Gruppen die Gruppe aus, die Sie aktualisieren möchten.
4. Klicken Sie auf Mitglieder hinzufügen.
5. Suchen Sie den Benutzer, die Gruppe oder den Dienstprinzipal, den bzw. die Sie hinzufügen möchten, und wählen Sie ihn/sie aus.
6. Klicken Sie auf Hinzufügen.

Hinweis

Es gibt eine Verzögerung von ein paar Minuten zwischen dem Aktualisieren einer Gruppe aus einem Konto und der Gruppe, die in Arbeitsbereichen aktualisiert wird.

Verwalten von Rollen für eine Gruppe über die Kontokonsole

Wichtig

Dieses Feature befindet sich in der Public Preview.

Kontoadministrator*innen können Rollen für Kontogruppen in der Kontokonsole erteilen.

1. Melden Sie sich als Kontoadministrator*in bei der Kontokonsole an.
2. Klicken Sie in der Randleiste auf Benutzerverwaltung.
3. Suchen Sie auf der Registerkarte Gruppen nach dem Gruppennamen, und klicken Sie darauf.
4. Klicken Sie auf die Registerkarte Berechtigungen.
5. Klicken Sie auf Zugriff gewähren.
6. Suchen Sie nach dem Benutzer, Dienstprinzipal oder der Gruppe, wählen Sie diese(n) aus, und wählen Sie die Rolle Gruppe: Manager aus.
7. Klicken Sie auf Speichern.

Ändern des Namens einer Gruppe

Kontoadministrator*innen können die Namen von Kontogruppen über die Kontokonsole aktualisieren:

1. Melden Sie sich als Kontoadministrator*in bei der Kontokonsole an.
2. Klicken Sie in der Randleiste auf Benutzerverwaltung.
3. Wählen Sie auf der Registerkarte Gruppen die Gruppe aus, die Sie aktualisieren möchten.
4. Klicken Sie auf Gruppeninformationen.
5. Aktualisieren den unter Name angezeigten Namen.
6. Klicken Sie auf Speichern.

Gruppenmanager*innen können den Namen einer Gruppe nicht über die Kontokonsole ändern. Verwenden Sie stattdessen die Kontogruppen-API. Beispiel:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

Weitere Informationen zur Authentifizierung bei der Kontogruppen-API finden Sie unter Authentifizierung für die Azure Databricks-Automatisierung – Übersicht.

Zuweisen einer Gruppe zu einem Arbeitsbereich mithilfe der Kontokonsole

Zum Hinzufügen von Gruppen zu einem Arbeitsbereich mithilfe der Kontokonsole muss der Arbeitsbereich für den Identitätsverbund aktiviert sein. Arbeitsbereichen können nur Kontogruppen zugewiesen werden.

1. Melden Sie sich als Kontoadministrator bei der Kontokonsole an.
2. Klicken Sie auf der Randleiste auf Arbeitsbereiche.
3. Klicken Sie auf den Namen Ihres Arbeitsbereichs.
4. Klicken Sie auf der Registerkarte Permissions auf Add permissions.
5. Suchen Sie nach der Gruppe, weisen Sie die Berechtigungsstufe (Arbeitsbereichsbenutzer oder Admin) zu, und klicken Sie dann auf Speichern.

Entfernen einer Gruppe aus einem Arbeitsbereich mithilfe der Kontokonsole

Zum Entfernen von Gruppen zu einem Arbeitsbereich mithilfe der Kontokonsole muss der Arbeitsbereich für den Identitätsverbund aktiviert sein. Nur Kontogruppen können über die Kontokonsole aus Arbeitsbereichen entfernt werden.

Wenn eine Kontogruppe aus einem Arbeitsbereich entfernt wird, können Gruppenmitglieder nicht mehr auf den Arbeitsbereich zugreifen, die Berechtigungen werden jedoch für die Gruppe verwaltet. Wenn die Gruppe später wieder zu einem Arbeitsbereich hinzugefügt wird, erhält die Gruppe ihre vorherigen Berechtigungen zurück.

1. Melden Sie sich als Kontoadministrator*in bei der Kontokonsole an.
2. Klicken Sie auf der Randleiste auf Arbeitsbereiche.
3. Klicken Sie auf den Namen Ihres Arbeitsbereichs.
4. Suchen Sie auf der Registerkarte Berechtigungen die Gruppe.
5. Klicken Sie ganz rechts in der Gruppenzeile auf das Kebabmenü und wählen Sie Entfernenaus.
6. Klicken Sie im Bestätigungsdialogfeld auf Entfernen.

Zuweisen von Kontoadministratorrollen zu einer Gruppe

Sie können die Rolle „Kontoadministrator“ oder „Marketplace-Administrator“ nicht über die Kontokonsole einer Gruppe zuweisen, aber Sie können sie Gruppen mithilfe von Kontogruppen-API zuweisen. Beispiel:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

Weitere Informationen zur Authentifizierung bei der Kontogruppen-API finden Sie unter Authentifizierung für die Azure Databricks-Automatisierung – Übersicht.

Entfernen von Gruppen aus Ihrem Azure Databricks-Konto

Kontoadministratoren können Gruppen aus einem Azure Databricks-Konto entfernen. Gruppenmanager*innen können Gruppen auch mithilfe der Kontogruppen-API aus dem Konto entfernen, siehe Verwalten von Kontogruppen mithilfe der API.

Wichtig

Wenn Sie eine Gruppe entfernen, werden alle Benutzer in dieser Gruppe aus dem Konto gelöscht und verlieren den Zugriff auf alle Arbeitsbereiche, auf die sie Zugriff hatten (es sei denn, sie sind Mitglieder einer anderen Gruppe oder haben direkten Zugriff auf das Konto oder auf Arbeitsbereiche). Databricks empfiehlt, Gruppen auf Kontoebene nicht zu löschen, es sei denn, Sie möchten, dass sie den Zugriff auf alle Arbeitsbereiche des Kontos verlieren. Beachten Sie die folgenden Folgen des Löschens von Benutzern:

• Anwendungen oder Skripte, die die vom Benutzer generierten Token verwenden, können nicht mehr auf Databricks APIs zugreifen
• Aufträge, die den jeweiligen Benutzer*innen gehören, schlagen fehl.
• Cluster, die den jeweiligen Benutzer*innen gehören, werden beendet.
• Vom Benutzer erstellte Abfragen oder Dashboards, die mit der Berechtigung „Als Besitzer ausführen“ freigegeben wurden, müssen einem neuen Besitzer zugewiesen werden, damit die Freigabe nicht fehlschlägt.

Gehen Sie wie folgt vor, um eine Gruppe unter Verwendung der Kontokonsole zu entfernen:

1. Melden Sie sich als Kontoadministrator bei der Kontokonsole an.
2. Klicken Sie in der Randleiste auf Benutzerverwaltung.
3. Auf der Registerkarte Gruppen suchen Sie die Gruppe, die Sie entfernen möchten.
4. Klicken Sie auf das Kebab-Menü ganz rechts in der Zeile des Benutzers, und wählen Sie Löschen aus.
5. Klicken Sie im Bestätigungsdialogfeld auf Löschen bestätigen.

Wenn Sie eine Gruppe mithilfe der Kontokonsole entfernen, müssen Sie sicherstellen, dass Sie die Gruppe auch mithilfe aller SCIM-Bereitstellungsconnectors oder SCIM-API-Anwendungen entfernen, die für das Konto eingerichtet wurden. Wenn Sie dies nicht tun, fügt die SCIM-Bereitstellung die Gruppe und ihre Mitglieder bei der nächsten Synchronisierung einfach wieder hinzu. Weitere Informationen finden Sie unter Synchronisieren von Benutzer*innen und Gruppen über Microsoft Entra ID.

Informationen dazu, wie Sie eine Gruppe mithilfe der API aus einem Azure Databricks-Konto entfernen können, finden Sie unter Bereitstellen von Identitäten für Ihr Azure Databricks-Konto und unter Kontogruppen-API.

Verwalten von Kontogruppen mithilfe der Seite „Administratoreinstellungen“ für Arbeitsbereiche

Arbeitsbereichsadministratoren können Kontogruppen im Identitätsverbundarbeitsbereich erstellen und verwalten, indem sie die Seite „Arbeitsbereichsadministratoreinstellungen“ verwenden.

Hinweis

Es gibt eine Verzögerung von ein paar Minuten zwischen dem Aktualisieren einer Kontogruppe aus einem Arbeitsbereich und der Gruppe, die im Konto aktualisiert wird.

Informationen zum Erstellen von arbeitsbereichslokalen Gruppen in Arbeitsbereichen finden Sie unter Verwalten von arbeitsbereichslokalen Gruppen (Legacy).

Erstellen oder Zuweisen einer Gruppe zu einem Arbeitsbereich mithilfe der Administratoreinstellungsseite für Arbeitsbereiche

Gehen Sie wie folgt vor, um eine Kontogruppe in einem Arbeitsbereich über die Seite „Administratoreinstellungen“ des Arbeitsbereichs zuzuweisen oder zu erstellen:

1. Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.

2. Wählen Sie Ihren Benutzernamen in der oberen Leiste des Azure Databricks-Arbeitsbereichs und anschließend Einstellungen aus.

3. Klicken Sie auf die Registerkarte Identität und Zugriff.

4. Klicken Sie neben Gruppen auf Verwalten.

5. Klicken Sie auf + Gruppe hinzufügen.

6. Wählen Sie eine vorhandene Gruppe aus, die Sie dem Arbeitsbereich zuweisen möchten, oder klicken Sie auf Neu hinzufügen, um eine neue Kontogruppe zu erstellen.

   Hinweis

   Wenn Ihr Arbeitsbereich nicht für den Identitätsverbund aktiviert ist, können Sie Ihrem Arbeitsbereich keine bestehenden Kontogruppen zuweisen oder Kontogruppen in Ihrem Arbeitsbereich hinzufügen bzw. erstellen. Sie müssen stattdessen arbeitsbereichslokale Gruppen verwenden. Weitere Informationen finden Sie unter Verwalten von arbeitsbereichslokalen Gruppen (Legacy).

Hinzufügen von Mitgliedern zu einer Gruppe über die Seite „Administratoreinstellungen“ des Arbeitsbereichs

Sie müssen Arbeitsbereichsadministrator sein, um Benutzer, Dienstprinzipale und Gruppen einer Kontogruppe über die Seite „Administratoreinstellungen“ des Arbeitsbereichs hinzufügen zu können. Sie können nur Mitglieder einer Gruppe verwalten, für die Sie über die Gruppenmanagerrolle verfügen.

Hinweis

Sie können der Gruppe admins keine untergeordnete Gruppe hinzufügen. Es ist nicht möglich, arbeitsbereichslokale Gruppen oder Systemgruppen als Mitglieder von Kontogruppen hinzuzufügen.

Gruppenmanager*innen, die nicht als Arbeitsbereichsadministrator*innen fungieren, müssen die Gruppenmitgliedschaft mithilfe der Kontogruppen-API verwalten.

1. Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.
2. Wählen Sie Ihren Benutzernamen in der oberen Leiste des Azure Databricks-Arbeitsbereichs und anschließend Einstellungen aus.
3. Klicken Sie auf die Registerkarte Identität und Zugriff.
4. Klicken Sie neben Gruppen auf Verwalten.
5. Wählen Sie die Gruppe aus, die Sie aktualisieren möchten. Sie müssen über die Gruppenmanagerrolle in der Gruppe verfügen, um sie zu aktualisieren.
6. Klicken Sie auf der Registerkarte Mitglieder auf Mitglieder hinzufügen.
7. Suchen Sie im Dialogfeld nach den Benutzern, Dienstprinzipalen und Gruppen, die Sie hinzufügen möchten, und wählen Sie sie aus.
8. Klicken Sie auf Confirm (Bestätigen).

Verwalten von Rollen in einer Kontogruppe über die Seite „Administratoreinstellungen“ des Arbeitsbereichs

Wichtig

Dieses Feature befindet sich in der Public Preview.

Sie können die Rolle Gruppenmanager Benutzern, Kontogruppen und Dienstprinzipalen zuweisen. Gruppenmanager können die Gruppenmitgliedschaft verwalten. Sie können die Rolle „Gruppenmanager“ auch anderen Benutzern zuweisen.

Sie müssen Arbeitsbereichsadministrator sein, um Gruppenrollen über die Seite „Administratoreinstellungen“ des Arbeitsbereichs verwalten zu können. Gruppenmanager*innen, die nicht als Arbeitsbereichsadministrator*innen fungieren, können Gruppenrollen mithilfe der API für die Kontozugriffssteuerung verwalten.

1. Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.

2. Wählen Sie Ihren Benutzernamen in der oberen Leiste des Azure Databricks-Arbeitsbereichs und anschließend Einstellungen aus.

3. Klicken Sie auf die Registerkarte Identität und Zugriff.

4. Klicken Sie neben Gruppen auf Verwalten.

5. Wählen Sie die Gruppe aus, die Sie aktualisieren möchten. Sie müssen über die Gruppenmanagerrolle in der Gruppe verfügen, um sie zu aktualisieren.

6. Klicken Sie auf die Registerkarte Berechtigungen.

7. Klicken Sie auf Zugriff gewähren.

8. Suchen Sie nach dem Benutzer, Dienstprinzipal oder der Gruppe, wählen Sie diese(n) aus, und wählen Sie die Rolle Gruppe: Manager aus.

   Hinweis

   Es ist nicht möglich, arbeitsbereichslokale Gruppen oder Systemgruppen als Rollen für Kontogruppen zuzuweisen.

9. Klicken Sie auf Speichern.

Anzeigen übergeordneter Gruppen

1. Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.
2. Wählen Sie Ihren Benutzernamen in der oberen Leiste des Azure Databricks-Arbeitsbereichs und anschließend Einstellungen aus.
3. Klicken Sie auf die Registerkarte Identität und Zugriff.
4. Klicken Sie neben Gruppen auf Verwalten.
5. Wählen Sie die Gruppe aus, die Sie anzeigen möchten.
6. Zeigen Sie auf der Registerkarte Übergeordnete Gruppe die übergeordneten Gruppen für Ihre Gruppe an.

Entfernen einer Gruppe aus einem Arbeitsbereich mithilfe der Administratoreinstellungen für Arbeitsbereiche

Wenn Sie eine Gruppe aus einem Arbeitsbereich entfernen, wird die Gruppe im Konto nicht gelöscht. Wenn eine Gruppe aus einem Arbeitsbereich entfernt wird, können Gruppenmitglieder nicht mehr auf den Arbeitsbereich zugreifen, die Berechtigungen werden jedoch für die Gruppe verwaltet. Wenn die Gruppe später wieder zum Arbeitsbereich hinzugefügt wird, erhält die Gruppe ihre vorherigen Berechtigungen wieder.

1. Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.
2. Wählen Sie Ihren Benutzernamen in der oberen Leiste des Azure Databricks-Arbeitsbereichs und anschließend Einstellungen aus.
3. Klicken Sie auf die Registerkarte Identität und Zugriff.
4. Klicken Sie neben Gruppen auf Verwalten.
5. Wählen Sie die Gruppe aus, und klicken Sie auf x Löschen
6. Klicken Sie auf Löschen, um den Vorgang zu bestätigen.

Verwalten von Kontogruppen mithilfe der API

Kontoadministrator*innen, Arbeitsbereichsadministrator*innen und Gruppenmanager*innen können mithilfe der Kontogruppen-API Gruppen zum Azure Databricks-Konto hinzufügen, sie löschen und verwalten. Kontoadministrator*innen und Arbeitsbereichsadministrator*innen und Gruppenmanager rufen die API mithilfe einer anderen Endpunkt-URL auf:

• Kontoadministratoren verwenden {account-domain}/api/2.0/accounts/{account_id}/scim/v2/.
• Arbeitsbereichsadministratoren und Gruppenmanager verwenden {workspace-domain}/api/2.0/account/scim/v2/.

Weitere Details finden Sie in der Kontogruppen-API.

Zuweisen einer Gruppe zu einem Arbeitsbereich mithilfe der API

Konto- und Arbeitsbereichsadministrator*innen können die Arbeitsbereichszuweisungs-API verwenden, um Arbeitsbereichen, für die der Identitätsverbund aktiviert ist, Gruppen zuzuweisen. Die Arbeitsbereichszuweisungs-API wird über das Azure Databricks-Konto und Azure Databricks-Arbeitsbereiche unterstützt.

• Kontoadministratoren verwenden {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
• Arbeitsbereichsadministratoren verwenden {workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.

Weitere Informationen finden Sie unter Arbeitsbereichszuweisungs-API.

Verwalten von Rollen für eine Gruppe mithilfe der API

Wichtig

Dieses Feature befindet sich in der Public Preview.

Gruppenmanager können Gruppenrollen mithilfe der Access Control-API für Konten verwalten. Kontoadministrator*innen und Arbeitsbereichsadministrator*innen und Gruppenmanager rufen die API mithilfe einer anderen Endpunkt-URL auf:

• Kontoadministratoren verwenden {account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles.
• Arbeitsbereichsadministratoren und Gruppenmanager verwenden {workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles.

Weitere Informationen finden Sie unter API für die Kontozugriffssteuerung und API für den Kontozugriffssteuerungsproxy.