Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Esta página fornece uma visão geral dos grupos no Azure Databricks. Para saber como gerenciar grupos, consulte Gerenciar grupos.
Os grupos simplificam o gerenciamento de identidades, facilitando a atribuição de acesso a espaços de trabalho, dados e outros objetos protegíveis. Todas as identidades do Databricks podem ser atribuídas como membros de grupos.
Observação
Esta página assume que o seu espaço de trabalho tem a federação de identidade ativada, que é o padrão para a maioria dos espaços de trabalho. Para informações sobre espaços de trabalho legados sem federação de identidade, veja Espaços de trabalho legados sem federação de identidade.
Agrupar fontes
Os grupos do Azure Databricks são classificados em quatro categorias com base em sua origem, que é mostrada na coluna Origem da lista de grupos
| Fonte | Descrição |
|---|---|
| Conta | Pode ser concedido acesso a dados numa metastore do Unity Catalog, funções atribuídas em principais e grupos de serviço, permissões para espaços de trabalho e permissões para objetos de trabalho. Os membros herdam permissões de objetos no espaço de trabalho de todos os grupos de contas dos quais são membros, independentemente de o grupo estar atribuído a esse espaço de trabalho. Esses são os grupos principais para gerenciar o acesso na conta do Azure Databricks. |
| externa | Criado no Azure Databricks a partir do seu provedor de identidade. Esses grupos permanecem sincronizados com seu IdP (como o Microsoft Entra ID). Os grupos externos também são considerados grupos de contas. |
| Sistema | Criado e mantido pelo Azure Databricks. Cada conta inclui um account users grupo que inclui todos os utilizadores e os principais responsáveis do serviço. Cada espaço de trabalho tem dois grupos de sistemas: users (todos os principais têm acesso ao espaço de trabalho) e admins (administradores do espaço de trabalho). Os grupos do sistema não podem ser eliminados nem ter as suas subvenções de direito modificadas. |
| Área de trabalho | Conhecidos como grupos locais de espaço de trabalho, esses são grupos herdados que foram usados apenas dentro do espaço de trabalho no qual foram criados. Eles não podem ser atribuídos a outros espaços de trabalho, nem ter acesso concedido a dados do Catálogo Unity, nem serem atribuídos a funções no nível da conta. O Databricks recomenda a conversão de grupos locais de espaço de trabalho em grupos de contas para uma funcionalidade mais ampla. |
Observação
Numa próxima versão, os grupos de sistema de espaço de trabalho (users e admins) terão autorizações fixas que não podem ser modificadas. O users grupo não terá direitos e admins terá todos os direitos ao espaço de trabalho. Os direitos existentes no users grupo são automaticamente migrados para um grupo clonado, para que os utilizadores atuais mantenham o seu acesso. Para mais informações, consulte Os grupos de sistemas de espaço de trabalho terão em breve subsídios de direito fixo.
Quando a gestão automática de identidades está ativada, os grupos do Microsoft Entra ID são visíveis na consola da conta e na página de definições de administrador do espaço de trabalho. O seu estado reflete a sua atividade e estado entre o Microsoft Entra ID e o Azure Databricks. Consulte os estados dos utilizadores e dos grupos.
Quem pode gerir grupos?
Para criar grupos no Azure Databricks, você deve ser:
- Um administrador de conta
- Um administrador de espaço de trabalho
Para gerenciar grupos no Azure Databricks, você deve ter a função de gerente de grupo (Visualização Pública) em um grupo. Esta função permite-lhe:
- Gerir filiação ao grupo
- Eliminar grupos
- Atribuir a função de gestor de grupo a outros utilizadores
Por predefinição:
- Os administradores de conta têm automaticamente a função de gestor de grupo para todos os grupos.
- Os administradores de espaço de trabalho têm automaticamente a função de gestor de grupo nos grupos que criam.
As funções de gerente de grupo podem ser configuradas por:
- Administradores de conta, usando o console de conta
- Administradores de espaço de trabalho, usando a página de configurações de administração do espaço de trabalho
- Gerentes de grupo não administradores, usando a API de Controle de Acesso de Contas
Os administradores de espaço de trabalho também podem criar e gerenciar grupos locais de espaço de trabalho herdados.
Sincronizar grupos com a sua conta do Azure Databricks a partir do Microsoft Entra ID
O Databricks recomenda sincronizar grupos da ID do Microsoft Entra com sua conta do Azure Databricks.
Você pode sincronizar grupos a partir do seu ID do Microsoft Entra automaticamente ou usando um conector de provisionamento SCIM.
O gerenciamento automático de identidades permite adicionar usuários, entidades de serviço e grupos do Microsoft Entra ID ao Azure Databricks sem configurar um aplicativo no Microsoft Entra ID. O Databricks usa a ID do Microsoft Entra como fonte de registro, portanto, quaisquer alterações em usuários ou associações de grupo são respeitadas no Azure Databricks. O gerenciamento automático de identidades oferece suporte a grupos aninhados. O gerenciamento automático de identidades é habilitado por padrão para contas criadas após 1º de agosto de 2025. Para obter detalhes, consulte Sincronizar usuários e grupos automaticamente a partir da ID do Microsoft Entra.
O provisionamento SCIM permite configurar um aplicativo corporativo no Microsoft Entra ID para manter os usuários e grupos sincronizados com o Microsoft Entra ID. O provisionamento SCIM não oferece suporte a grupos aninhados. Para obter instruções, consulte Sincronizar usuários e grupos do Microsoft Entra ID usando SCIM.