在您的帳戶上啟用「無隔離共用」叢集的系統管理保護

帳戶管理員可以防止在無隔離共用叢集上自動為 Azure Databricks 工作區管理員產生內部認證。 沒有隔離共用叢集是將 [存取模式 ] 下拉式清單設定為 [沒有共用隔離] 的叢集。

重要

叢集UI最近已變更。 叢集先前顯示為標準叢集模式的 [無隔離共用存取模式] 設定。 如果您使用高並行叢集模式 ，而沒有其他安全性設定，例如 數據表訪問控制（數據表 ACL） 或認證傳遞，則相同的設定會與標準叢集模式搭配使用。 本文討論的帳戶層級管理員設定適用於「無隔離共用存取」模式和其相等的舊版叢集模式。 如需舊 UI 和新 UI 叢集類型的比較，請參閱 叢集 UI 變更和叢集存取模式。

帳戶上無隔離共用叢集的系統管理保護可協助保護系統管理員帳戶，避免在與其他使用者共用的環境中共用內部認證。 啟用此設定可能會影響系統管理員所執行的工作負載。 請參閱 限制。

在相同的共享環境中，沒有隔離共用叢集從多個使用者執行任意程式代碼，類似於跨多個使用者共用的雲端虛擬機上會發生什麼事。 布建至該環境的數據或內部認證，可能可供該環境內執行的任何程式代碼存取。 若要針對一般作業呼叫 Azure Databricks API，會代表使用者布建存取令牌至這些叢集。 當較高許可權的使用者，例如工作區系統管理員，在叢集上執行命令時，其較高許可權的令牌會顯示在同一個環境中。

您可以判斷工作區中的哪些叢集具有受此設定影響的叢集類型。 請參閱尋找您的所有無隔離共用叢集（包括對等的舊版叢集模式）。

除了此帳戶層級設定之外，還有一個 稱為強制執行用戶隔離的工作區層級設定。 帳戶管理員可以啟用它，以防止建立或啟動「無隔離共用」叢集存取類型或其 對等的舊版叢集類型。

啟用帳戶層級系統管理員保護設定

1. 身為帳戶管理員，登入 帳戶控制台。

   重要

   如果您的 Microsoft Entra ID（先前稱為 Azure Active Directory） 租使用者中沒有任何使用者登入帳戶控制台，您或租使用者中的其他用戶必須以第一個帳戶管理員的身分登入。若要這樣做，您必須是 Microsoft Entra ID Global 管理員 istrator，但只有在您第一次登入 Azure Databricks 帳戶控制台時。 第一次登入時，您會成為 Azure Databricks 帳戶管理員，不再需要 Microsoft Entra ID Global 管理員 istrator 角色來存取 Azure Databricks 帳戶。 身為第一個帳戶管理員，您可以將 Microsoft Entra ID 租使用者中的使用者指派為其他帳戶管理員（他們可以自行指派更多帳戶管理員）。 其他帳戶管理員不需要 Microsoft Entra ID 中的特定角色。 請參閱 管理用戶、服務主體和群組。

2. 按一下 [設定] 。

3. 按兩下 [ 功能啟用] 索引標籤 。

4. 在 [啟用「無隔離共用」叢集的 [啟用 管理員 保護] 底下，按兩下設定以啟用或停用此功能。

   • 如果啟用此功能，Azure Databricks 會防止自動為 No Isolation Shared 叢集上的 Databricks 工作區系統管理員產生 Databricks API 內部認證。
   • 變更最多可能需要兩分鐘，才會在所有工作區上生效。

限制

與無隔離共用叢集或對等的舊版叢集模式搭配使用時，如果您為帳戶上的無隔離共用叢集啟用系統管理員保護，下列 Azure Databricks 功能將無法運作：

• 機器學習 運行時間工作負載。
• 工作區檔案。
• dbutils Secrets 公用程式。
• dbutils Notebook 公用程式。
• 建立、修改或更新數據的系統管理員所執行的 Delta Lake 作業。

此叢集類型的系統管理員使用者可能無法使用其他功能，因為這些功能依賴自動產生的內部認證。

在這些情況下，Azure Databricks 建議系統管理員執行下列其中一項動作：

• 使用與「無隔離共用」或其 相等舊版叢集類型不同的叢集類型。
• 使用無隔離共用叢集時，建立非系統管理員使用者。

尋找您的所有無隔離共用叢集（包括對等的舊版叢集模式）

您可以判斷工作區中的哪些叢集會受到此帳戶層級設定的影響。

將下列筆記本匯入所有工作區並執行筆記本。

取得所有無隔離共用叢集筆記本的清單

取得筆記本