管理群組

本文說明系統管理員如何建立和管理 Azure Databricks 群組。 如需 Azure Databricks 身分識別模型的概觀，請參閱 Azure Databricks 身分識別。

若要管理群組的存取權，請參閱 驗證和訪問控制。

群組管理概觀

群組可讓您更輕鬆地指派工作區、數據和其他安全性實體物件的存取權，藉以簡化身分識別管理。 所有 Databricks 身分識別都可以指派為群組的成員。

帳戶群組和工作區本地組之間的差異

Azure Databricks 具有帳戶群組和舊版工作區本地組的概念：

• 帳戶群組可以授與 Unity 目錄中繼存放區中的數據存取權、服務主體和群組上授與的角色，以及身分識別同盟工作區的許可權。
• 工作區本地組 是舊版群組。 這些群組會在工作區系統管理員設定頁面中識別為 工作區本機 。 工作區本地組無法指派給其他工作區，或授與 Unity 目錄中繼存放區中數據的存取權。 工作區本地組無法被授與帳戶層級角色。 如需工作區本地組的詳細資訊，請參閱管理工作區本地組（舊版）。

每個工作區中有兩個系統群組： users 和 admins。 所有工作區使用者都是群組的成員 users ，而所有工作區管理員都是群組的成員 admins 。 系統群組是工作區本地組。 系統群組無法刪除。

Databricks 建議將現有的工作區本地組轉換成考慮群組，以利用 Unity 目錄的集中式工作區指派和數據存取管理。 請參閱 將工作區本地組移轉至帳戶群組。

注意

Azure 中工作區資源上具有內建參與者或擁有者角色的用戶會自動指派給工作區 admins 群組。 如需詳細資訊，請參閱 管理您的訂用帳戶。

神秘 可以管理帳戶群組嗎？

若要在 Azure Databricks 中建立帳戶群組，您必須是帳戶管理員或工作區管理員。工作區系統管理員必須位於身分識別同盟工作區中，才能建立帳戶群組。

若要管理 Azure Databricks 中的帳戶群組，您必須在群組上擁有 群組管理員 角色（公開預覽）。 群組管理員可以管理群組成員資格，並刪除群組。 他們也可以指派其他使用者群組管理員角色。 帳戶管理員可以使用帳戶控制台管理群組角色，而工作區系統管理員可以使用工作區系統管理員設定頁面來管理群組角色。 非工作區管理員的群組管理員可以使用帳戶 存取控制 API 來管理群組角色。

帳戶管理員在帳戶層級上具有群組管理員角色，這表示他們在帳戶中的所有群組上都有群組管理員角色。 工作區系統管理員在他們建立的帳戶群組上具有群組管理員角色。

工作區系統管理員也可以建立和管理 工作區本地組。

從 Microsoft Entra 識別符同步群組到您的 Azure Databricks 帳戶（先前稱為 Azure Active Directory） 租使用者

您可以使用 SCIM 布建連接器，將群組從 Microsoft Entra ID（先前稱為 Azure Active Directory）租使用者同步至您的 Azure Databricks 帳戶。 如需指示，請參閱 使用 Microsoft Entra ID 將身分識別布建至您的 Azure Databricks 帳戶。

重要

如果您有將身分識別直接同步處理至工作區的 SCIM 連接器，且已啟用這些工作區進行身分識別同盟，建議您在啟用帳戶層級 SCIM 連接器時停用這些 SCIM 連接器。 如果您有未使用身分識別同盟的工作區，您必須繼續使用您已針對這些工作區設定的任何 SCIM 連接器，與帳戶層級 SCIM 連接器平行執行。

使用帳戶主控台管理帳戶群組

帳戶管理員可以使用 帳戶控制台，在 Azure Databricks 帳戶中新增和管理群組。 工作區管理員和群組管理員可以使用工作區設定頁面和 Databricks API 來管理群組。 請參閱 使用工作區管理員設定頁面 管理帳戶群組和使用 API 管理帳戶群組。

使用帳戶主控台將群組新增至您的帳戶

若要使用帳戶主控台將群組新增至帳戶，請執行下列動作：

1. 身為帳戶管理員，登入帳戶控制台。
2. 在提要欄位中，按兩下 [ 使用者管理]。
3. 在 [ 群組] 索引標籤上，按兩下 [ 新增群組]。
4. 輸入此群組的名稱。
5. 按一下 [確認]。
6. 出現提示時，將用戶、服務主體和群組新增至群組。

使用帳戶主控台將成員新增至群組

若要使用帳戶主控台將使用者、服務主體和群組新增至群組，請執行下列動作：

1. 身為帳戶管理員，登入帳戶控制台。
2. 在提要欄位中，按兩下 [ 使用者管理]。
3. 在 [ 群組] 索引標籤上，選取您要更新的群組。
4. 按兩下 [ 新增成員]。
5. 搜尋您想要新增的使用者、群組或服務主體，然後加以選取。
6. 按一下新增。

注意

從帳戶更新群組與工作區中更新群組之間有幾分鐘的延遲。

使用帳戶主控台管理群組的角色

重要

這項功能處於公開預覽狀態。

帳戶管理員可以在帳戶控制台中的帳戶群組上授與角色。

1. 身為帳戶管理員，登入 帳戶控制台。
2. 在提要欄位中，按兩下 [ 使用者管理]。
3. 在 [ 群組] 索引標籤上，尋找並按兩下組名。
4. 按兩下 [許可權] 索引標籤。
5. 按一下 [授與存取權]。
6. 搜尋並選取使用者、服務主體或群組，然後選擇 [ 群組：管理員 ] 角色。
7. 按一下 [檔案] 。

變更群組的名稱

帳戶管理員可以使用帳戶主控台更新 中的帳戶群組名稱：

1. 身為帳戶管理員，登入帳戶控制台。
2. 在提要欄位中，按兩下 [ 使用者管理]。
3. 在 [ 群組] 索引標籤上，選取您要更新的群組。
4. 按兩下 [ 群組資訊]。
5. 在 [名稱] 底下，更新名稱。
6. 按一下 [檔案] 。

群組管理員無法使用帳戶控制台來變更群組的名稱。 請改用 帳戶群組 API。 例如：

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json：

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

如需如何向帳戶群組 API 進行驗證的資訊，請參閱 Azure Databricks 自動化的驗證 - 概觀。

使用帳戶主控台將群組指派給工作區

若要使用 帳戶主控台將群組新增至工作區，您必須為 身分識別同盟啟用工作區。 只有帳戶群組可以指派給工作區。

1. 身為帳戶管理員，登入帳戶控制台。
2. 在提要欄位中，按兩下 [ 工作區]。
3. 按兩下您的工作區名稱。
4. 在 [ 許可權] 索引標籤上，按兩下 [ 新增許可權]。
5. 搜尋並選取群組、指派許可權等級（工作區使用者或 管理員），然後按兩下 [儲存]。

使用帳戶主控台從工作區移除群組

若要使用 帳戶主控台將群組移除至工作區，您必須為 身分識別同盟啟用工作區。 只有帳戶群組是使用帳戶控制台從工作區卸除的。

從工作區移除帳戶群組時，群組成員無法再存取工作區，不過群組上會維護許可權。 如果群組稍後新增回工作區，群組會重新取得其先前的許可權。

1. 身為帳戶管理員，登入帳戶控制台。
2. 在提要欄位中，按兩下 [ 工作區]。
3. 按兩下您的工作區名稱。
4. 在 [ 許可權] 索引標籤上，尋找群組。
5. 單擊群組數據列最右邊的Kebab功能表，然後選取[移除]。
6. 在確認對話框中，按兩下 [ 移除]。

將帳戶管理員角色指派給群組

您無法使用帳戶主控台將帳戶管理員或市集管理員角色指派給群組，但您可以使用帳戶群組 API 將它指派給群組。 例如：

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json：

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

如需如何向帳戶群組 API 進行驗證的資訊，請參閱 Azure Databricks 自動化的驗證 - 概觀。

從 Azure Databricks 帳戶移除群組

帳戶管理員可以從 Azure Databricks 帳戶中移除群組。 群組管理員也可以使用帳戶群組 API 從帳戶中移除群組，請參閱 使用 API 管理帳戶群組。

重要

當您移除群組時，該群組中的所有用戶都會從帳戶中刪除，並失去其存取權的任何工作區的存取權（除非他們是另一個群組的成員，或已直接獲授與帳戶或任何工作區的存取權）。 Databricks 建議您避免刪除帳戶層級群組，除非您希望他們無法存取帳戶中的所有工作區。 請注意下列刪除使用者的後果：

• 使用使用者所產生的令牌的應用程式或腳本無法再存取 Databricks API
• 用戶所擁有的作業失敗
• 用戶所擁有的叢集停止
• 使用者建立並使用執行身分擁有者認證共用的查詢或儀錶板必須指派給新的擁有者，以防止共享失敗

若要使用帳戶主控台移除群組，請執行下列動作：

1. 身為帳戶管理員，登入帳戶控制台。
2. 在提要欄位中，按兩下 [ 使用者管理]。
3. 在 [ 群組] 索引標籤上，尋找您要移除的群組。
4. 按兩下使用者資料列最右邊的Kebab功能表，然後選取 [刪除]。
5. 在確認對話框中，按兩下 [ 確認刪除]。

如果您使用帳戶主控台移除群組，您必須確定也使用已針對帳戶設定的任何 SCIM 布建連接器或 SCIM API 應用程式移除群組。 如果您不這麼做，SCIM 布建只會在下次同步處理時將群組及其成員新增回來。 請參閱 從 Microsoft Entra 識別碼同步使用者和群組。

若要使用 API 從 Azure Databricks 帳戶移除群組，請參閱 將身分識別布建至 Azure Databricks 帳戶 和 帳戶群組 API。

使用工作區系統管理員設定頁面管理帳戶群組

工作區管理員可以使用工作區系統管理員設定頁面，在身分識別同盟工作區中建立和管理帳戶群組。

注意

從工作區更新帳戶群組與帳戶中更新的群組之間有幾分鐘的延遲。

如需如何在工作區中建立工作區本地組的詳細資訊，請參閱管理工作區本地組（舊版）。

使用工作區系統管理員設定頁面建立或指派群組至工作區

若要使用工作區管理員設定頁面在工作區中指派或建立帳戶群組，請執行下列動作：

1. 身為工作區管理員，登入 Azure Databricks 工作區。

2. 按兩下 Azure Databricks 工作區頂端列中的使用者名稱，然後選取 [設定]。

3. 按兩下 [ 身分識別和存取 ] 索引標籤。

4. 按兩下 [群組] 旁的 [管理]。

5. 按兩下 [ 新增群組]。

6. 選取要指派給工作區的現有群組，或按兩下 [ 新增 ] 以建立新的帳戶群組。

   注意

   如果您的工作區未啟用 身分識別同盟，您就無法指派現有的帳戶群組，或在您的工作區中新增建立帳戶群組。 您必須改用 workspace-local groups，請參閱管理工作區本地組（舊版）。

使用工作區管理員設定頁面將成員新增至群組

您必須是工作區管理員，才能使用工作區管理員設定頁面，將使用者、服務主體和群組新增至帳戶群組。 您只能管理擁有群組管理員角色的群組成員。

注意

您無法將子群組新增至 admins 群組。 您無法將工作區本地組或系統群組新增為帳戶群組的成員。

非工作區管理員的群組管理員必須使用帳戶群組 API 來管理群組成員資格。

1. 身為工作區管理員，登入 Azure Databricks 工作區。
2. 按兩下 Azure Databricks 工作區頂端列中的使用者名稱，然後選取 [設定]。
3. 按兩下 [ 身分識別和存取 ] 索引標籤。
4. 按兩下 [群組] 旁的 [管理]。
5. 選取您要更新的群組。 您必須在群組上擁有群組管理員角色才能更新它。
6. 在 [ 成員] 索引標籤上，按兩下 [ 新增成員]。
7. 在對話框中，流覽或搜尋您要新增的用戶、服務主體和群組，並加以選取。
8. 按一下 [確認]。

使用工作區系統管理員設定頁面管理帳戶群組上的角色

重要

這項功能處於公開預覽狀態。

您可以將群組管理員角色指派給使用者、帳戶群組和服務主體。 群組管理員可以管理群組成員資格。 他們也可以將群組管理員角色指派給其他使用者。

您必須是工作區管理員，才能使用工作區管理員設定頁面來管理群組角色。 非工作區管理員的群組管理員可以使用帳戶 存取控制 API 來管理群組角色。

1. 身為工作區管理員，登入 Azure Databricks 工作區。

2. 按兩下 Azure Databricks 工作區頂端列中的使用者名稱，然後選取 [設定]。

3. 按兩下 [ 身分識別和存取 ] 索引標籤。

4. 按兩下 [群組] 旁的 [管理]。

5. 選取您要更新的群組。 您必須在群組上擁有群組管理員角色才能更新它。

6. 按兩下 [許可權] 索引標籤。

7. 按一下 [授與存取權]。

8. 搜尋並選取使用者、服務主體或群組，然後選擇 [ 群組：管理員 ] 角色。

   注意

   您無法在帳戶群組上指派工作區本地組或系統群組角色。

9. 按一下 [檔案] 。

檢視父群組

1. 身為工作區管理員，登入 Azure Databricks 工作區。
2. 按兩下 Azure Databricks 工作區頂端列中的使用者名稱，然後選取 [設定]。
3. 按兩下 [ 身分識別和存取 ] 索引標籤。
4. 按兩下 [群組] 旁的 [管理]。
5. 選取您要檢視的群組。
6. 在 [ 父群組] 索引標籤上，檢視群組的父群組。

使用工作區系統管理員設定頁面從工作區移除群組

從工作區移除群組並不會刪除帳戶中的群組。 從工作區移除群組時，群組成員就無法再存取工作區，不過群組上會維護許可權。 如果群組稍後新增回工作區，群組會重新取得其先前的許可權。

1. 身為工作區管理員，登入 Azure Databricks 工作區。
2. 按兩下 Azure Databricks 工作區頂端列中的使用者名稱，然後選取 [設定]。
3. 按兩下 [ 身分識別和存取 ] 索引標籤。
4. 按兩下 [群組] 旁的 [管理]。
5. 選取群組，然後按下 [ x 刪除]
6. 按兩下 [ 刪除 ] 以確認。

使用 API 管理帳戶群組

帳戶管理員和工作區系統管理員和群組管理員可以使用帳戶群組 API，在 Azure Databricks 帳戶中新增、刪除和管理群組。 帳戶管理員和工作區系統管理員和群組管理員必須使用不同的端點 URL 叫用 API：

• 帳號管理員使用 {account-domain}/api/2.0/accounts/{account_id}/scim/v2/。
• 工作區系統管理員與群組管理員使用 {workspace-domain}/api/2.0/account/scim/v2/。

如需詳細資訊，請參閱 帳戶群組 API。

使用 API 將群組指派給工作區

帳戶和工作區管理員可以使用工作區指派 API，將群組指派給已啟用身分識別同盟的工作區。 透過 Azure Databricks 帳戶和工作區支援工作區指派 API。

• 帳號管理員使用 {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments。
• 工作區系統管理員使用 {workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}。

請參閱 工作區指派 API。

使用 API 管理群組的角色

重要

這項功能處於公開預覽狀態。

群組管理員可以使用帳戶 存取控制 API 來管理群組角色。 帳戶管理員和工作區系統管理員和群組管理員必須使用不同的端點 URL 叫用 API：

• 帳號管理員使用 {account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles。
• 工作區系統管理員與群組管理員使用 {workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles。

請參閱帳戶 存取控制 API 和帳戶 存取控制 工作區 Proxy API。