Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Auf dieser Seite finden Sie eine Übersicht über Gruppen in Azure Databricks. Informationen zum Verwalten von Gruppen finden Sie unter "Verwalten von Gruppen".
Gruppen vereinfachen die Identitätsverwaltung durch Erleichtern der Zuweisung des Zugriffs auf Arbeitsbereiche, Daten und andere sicherungsfähige Objekte. Alle Databricks-Identitäten können als Mitglieder von Gruppen zugewiesen werden.
Hinweis
Auf dieser Seite wird davon ausgegangen, dass ihr Arbeitsbereich den Identitätsverbund aktiviert hat. Dies ist die Standardeinstellung für die meisten Arbeitsbereiche. Informationen zu älteren Arbeitsbereichen ohne Identitätsverbund finden Sie unter Ältere Arbeitsbereiche ohne Identitätsverbund.
Gruppieren von Quellen
Azure Databricks-Gruppen werden basierend auf ihrer Quelle in vier Kategorien klassifiziert, die in der Spalte "Quelle " der Gruppenliste angezeigt werden.
| Quelle | BESCHREIBUNG |
|---|---|
| Konto | Kann Zugriff auf Daten in einem Unity-Katalogmetastore, zugewiesene Rollen für Dienstprinzipale und Gruppen sowie Berechtigungen für Arbeitsbereiche und Berechtigungen für Arbeitsbereichsobjekte gewährt werden. Mitglieder erben Arbeitsbereichsobjektberechtigungen von allen Kontogruppen, deren Mitglied sie sind, unabhängig davon, ob die Gruppe dem Arbeitsbereich zugewiesen ist. Dies sind die primären Gruppen für die Verwaltung des Zugriffs über das Azure Databricks-Konto. |
| Äußerlich | Erstellt in Azure Databricks von Ihrem Identitätsanbieter. Diese Gruppen bleiben mit Ihrem IdP synchronisiert (z. B. Microsoft Entra-ID). Externe Gruppen werden auch als Kontogruppen erfasst. |
| System | Erstellt und verwaltet von Azure Databricks. Jedes Konto enthält eine account users Gruppe, die alle Benutzer und Dienstprinzipale enthält. Jeder Arbeitsbereich verfügt über zwei Systemgruppen: users (alle Benutzer mit Zugriff auf den Arbeitsbereich) und admins (Arbeitsbereichsadministratoren). Systemgruppen können nicht gelöscht werden oder ihre Berechtigungserteilungen geändert werden. |
| Arbeitsbereich | Als arbeitsbereichslokale Gruppen bezeichnet, handelt es sich um Legacygruppen, die nur innerhalb des Arbeitsbereichs verwendet werden, in dem sie erstellt wurden. Sie können anderen Arbeitsbereichen nicht zugewiesen werden und keinen Zugriff auf Unity Catalog-Daten oder Rollen auf Kontoebene erhalten. Databricks empfiehlt die Konvertierung von arbeitsbereichlokalen Gruppen in Kontogruppen für eine breitere Funktionalität. |
Hinweis
Ab dem 15. Juni 2026 wird Databricks ein neues Verhalten einführen, bei dem Arbeitsbereichsberechtigungen explizit gewährt werden, wenn Prinzipale einem Arbeitsbereich hinzugefügt werden, und Arbeitsbereichssystemgruppen (users und admins) keine zuweisungsfähigen Berechtigungen mehr tragen. Die users Gruppe hat keine Berechtigungen, und die admins Gruppe verfügt über alle Arbeitsbereichsberechtigungen. Die Berechtigungen beider Gruppen sind gesperrt. Vorhandene Berechtigungen users werden automatisch zu einer Arbeitsbereich-lokalen Klongruppe migriert, sodass Prinzipale ihren Zugriff beibehalten. Das neue Verhalten wird am 27. Juli 2026 für Arbeitsbereiche, die sich weder dafür noch dagegen entschieden haben, automatisch aktiviert und ab dem 14. September 2026 für alle Arbeitsbereiche erzwungen. Weitere Informationen finden Sie unter Bevorstehende Verhaltensänderung: Berechtigungen auswählen, wenn Prinzipale zu Arbeitsbereichen hinzugefügt werden.
Wenn die automatische Identitätsverwaltung aktiviert ist, werden Gruppen von Ihrem Identitätsanbieter in der Kontokonsole und auf der Seite "Arbeitsbereichsadministratoreinstellungen" angezeigt. Ihr Status spiegelt ihre Aktivität und ihren Status zwischen Ihrem Identitätsanbieter und Azure Databricks wider. Siehe Benutzer- und Gruppenstatus.
Wer kann Gruppen verwalten?
Um Gruppen in Azure Databricks zu erstellen, müssen Sie eine der folgenden Sein:
- Ein Kontoadministrator
- Ein Arbeitsbereichsadministrator
Um Gruppen in Azure Databricks zu verwalten, müssen Sie über die Gruppen-Managerrolle (Öffentliche Vorschau) einer Gruppe verfügen. Diese Rolle ermöglicht Folgendes:
- Verwalten der Gruppenmitgliedschaft
- Löschen von Gruppen
- Weisen Sie die Gruppenmanager-Rolle anderen Benutzern zu.
Standardmäßig:
- Kontoadministratoren verfügen automatisch über die Gruppen-Manager-Rolle für alle Gruppen.
- Arbeitsbereichsadministratoren verfügen automatisch über die Gruppen-Manager-Rolle für Gruppen, die sie erstellen.
Gruppen-Managerrollen können konfiguriert werden durch:
- Kontoadministratoren, die die Kontokonsole verwenden
- Arbeitsbereichsadministratoren, die die Seite für Arbeitsbereichsadministratoreinstellungen verwenden
- Gruppenmanager, die keine Administratoren sind, verwenden die Zugriffssteuerungs-API für Konten
Arbeitsbereichsadministratoren können auch ältere Arbeitsbereichs-lokale Gruppen erstellen und verwalten.
Synchronisieren von Gruppen mit Ihrem Azure Databricks-Konto aus der Microsoft Entra-ID
Databricks empfiehlt, Gruppen von Microsoft Entra ID mit Ihrem Azure Databricks-Konto zu synchronisieren.
Sie können Gruppen von Ihrer Microsoft Entra ID-Instanz automatisch synchronisieren oder einen SCIM-Bereitstellungsconnector verwenden.
Mit der automatischen Identitätsverwaltung können Sie Benutzer, Dienstprinzipale und Gruppen von Microsoft Entra ID zu Azure Databricks hinzufügen, ohne eine Anwendung in Microsoft Entra ID zu konfigurieren. Databricks verwendet Microsoft Entra-ID als Datensatzquelle, sodass änderungen an Benutzern oder Gruppenmitgliedschaften in Azure Databricks berücksichtigt werden. Die automatische Identitätsverwaltung unterstützt geschachtelte Gruppen. Die automatische Identitätsverwaltung ist standardmäßig für Konten aktiviert, die nach dem 1. August 2025 erstellt wurden. Ausführliche Informationen finden Sie unter "Automatische Identitätsverwaltung".
SCIM-Bereitstellung ermöglicht es Ihnen, eine Unternehmensanwendung in Microsoft Entra ID zu konfigurieren, um Benutzer und Gruppen synchronisiert zu halten mit Microsoft Entra ID. Die Bereitstellung über SCIM unterstützt keine verschachtelten Gruppen. Anweisungen finden Sie unter Synchronisieren von Benutzern und Gruppen von Microsoft Entra ID mithilfe von SCIM-.