ワークスペース ローカル グループを管理する (レガシ)

この記事では、管理者がワークスペース ローカル グループを作成して管理する方法について説明します。 アカウント グループの概要については、「グループの管理」をご覧ください。

ワークスペース ローカル グループとは

ワークスペース ローカル グループはレガシ グループです。 これらのグループは、ワークスペース管理者設定ページで "ワークスペース ローカル" として識別されます。 ワークスペース ローカル グループは、アカウント グループとしてのアカウントには同期されません。 ワークスペース ローカル グループが定義されているワークスペース内でこれらのグループを使うことはできますが、アカウント レベルのインターフェイスを使ってこれらのグループを管理することはできません。 追加のワークスペースへの割り当てや、Unity Catalog メタストア内のデータへのアクセス権の付与はできません。 ワークスペース ローカル グループには、アカウント レベルのロールを付与できません。 一元化された ID を活用するために、Databricks ではワークスペース ローカル グループの代わりにアカウント グループを使うことをお勧めします。

ワークスペース管理者は、ワークスペース管理者設定ページ、ID プロバイダーのプロビジョニング コネクタ、Workspace Groups API を使って、ワークスペース ローカル グループを追加して管理できます。

ワークスペース ローカル グループのアクセスを管理するには、「認証とアクセス制御」を参照してください。

Note

ID フェデレーションが行われているワークスペースでは、Workspace Groups API を使ってのみワークスペース ローカル グループを管理できます。 Databricks は、2023 年 11 月 9 日、アカウント全体で順次ロールアウトする ID フェデレーションと Unity Catalog の新しいワークスペースの自動有効化を開始しました。 既定で ID フェデレーションのワークスペースが有効になっている場合、ワークスペースは無効にできません。 詳細については、「Unity Catalog の自動有効化」を参照してください。

ワークスペース ローカル グループをアカウント グループに移行する

Databricks は、一元化された ID 管理のために、ワークスペースローカル グループをアカウント グループに変換することを推奨しています。

手順 1: ワークスペースレベルの SCIM プロビジョニングをアカウントに移行する

Databricks は、ID プロバイダーから Azure Databricks にグループを同期するためのアカウントレベルの SCIM プロビジョニングを構成することを推奨しています。 現在、ワークスペースに対してワークスペースレベルの SCIM プロビジョニングを設定している場合は、ワークスペースレベルの SCIM プロビジョナーを無効にする必要があります。 そうしないと、ワークスペースレベルの SCIM は、ワークスペースローカル グループの作成と更新を続行します。 アカウントの新しい SCIM プロビジョニング コネクタを設定し、ワークスペースレベルの SCIM を無効にするには、「ワークスペースレベルの SCIM プロビジョニングのアカウント レベルへの移行」を参照してください。

手順 2: ワークスペースローカル グループの名前を変更する

ワークスペース内の 2 つのグループに同じ名前を付けることはできません。 ワークスペースに同じ名前の新しいアカウント グループを追加するには、ワークスペースローカル グループの名前を変更する必要があります。 これらの手順では、グループ名に (workspace) を追加することをお勧めします。

  1. ワークスペース管理者として、Azure Databricks ワークスペースにログインします。
  2. Azure Databricks ワークスペースの上部バーでユーザー名を選択し、[設定] を選択します。
  3. [グループ] タブをクリックし、アカウント グループに変換するワークスペースローカル グループを選びます。
  4. [名前] で、グループ名の末尾に (workspace) を追加します。
  5. [保存] をクリックします。

手順 3: アカウント グループにアクセス許可を付与する

新しくプロビジョニングされたアカウント グループに、ワークスペースローカルの対応するグループが持っていたのと同じ機能へのアクセス権を付与します。 新しいアカウント グループごとに以下の手順を実行します。

  1. グループにワークスペースへのアクセス権を付与します。 「アカウント コンソールを使用したグループのワークスペースへの割り当て」を参照してください。
  2. グループのエンタイトルメントの管理」の手順に従って、新しいアカウント グループにワークスペース エンタイトルメントを割り当てます。
  3. UCX ユーティリティ グループ移行ワークフローを使用して、ワークスペースレベル グループのワークスペースレベル オブジェクトへのアクセス許可を新しいアカウント グループに移行します。 「手順 2.グループ移行ワークフローを実行する」を参照してください。 Permissions API を使用して、アクセス許可を手動で移行することもできます。

手順 4: ワークスペースローカル グループを削除する

ワークスペースローカル グループのアカウントへの移行が完了したので、ワークスペースローカル グループを削除できます。

  1. [グループ] タブで、アカウント グループに変換したワークスペースローカル グループを選択します。
  2. [x 削除] をクリックし、[削除] をクリックして確定します。

API を使ってワークスペース ローカル グループを管理する

ワークスペース管理者は、ワークスペース レベルの SCIM API を使用して、ワークスペース ローカル グループを追加したり管理したりできます。 ID フェデレーションが行われているワークスペースでは、ワークスペース ローカル グループは API を使用してのみ管理できます。 手順については、Workspace Groups API に関するページをご覧ください。

管理者設定ページを使ってワークスペース ローカル グループを管理する

ID フェデレーションが行われていないワークスペースでは、ワークスペース管理者は、ワークスペース管理者設定ページを使用して、ワークスペース ローカル グループを追加および管理できます。

管理者設定ページを使ってワークスペース ローカル グループを作成する

管理者設定を使用してワークスペース ローカル グループをワークスペースに追加するには、以下の操作を行います。

  1. ワークスペース管理者として、Azure Databricks ワークスペースにログインします。

  2. Azure Databricks ワークスペースの上部バーでユーザー名を選択し、[設定] を選択します。

  3. [ID およびアクセス管理] タブをクリックします。

  4. [グループ] の横にある [管理] をクリックします。

  5. [グループの作成] をクリックします。

  6. グループ名を入力し、[作成] をクリックします。

    グループ名は一意である必要があります。 グループ名を変更することはできません。 グループ名を変更する場合は、グループを削除してから新しい名前でグループを再作成する必要があります。

管理者設定ページを使ってワークスペース ローカル グループにメンバーを追加する

Note

子グループを admins グループに追加することはできません。

  1. ワークスペース管理者として、Azure Databricks ワークスペースにログインします。

  2. Azure Databricks ワークスペースの上部バーでユーザー名を選択し、[設定] を選択します。

  3. [ID およびアクセス管理] タブをクリックします。

  4. [グループ] の横にある [管理] をクリックします。

  5. 更新するグループを選択します。

  6. [メンバー] タブで、[Add users, groups, or service principals](ユーザー、グループ、またはサービス プリンシパルの追加)をクリックします。

  7. ダイアログで、追加しようとしているユーザー、サービス プリンシパル、グループを参照または検索して選択します。

  8. [Confirm](確認) をクリックします。

    ドロップダウン リストを非表示にして [確認] ボタンを表示するには、セレクター内の下方向キーをクリックする必要が生じる場合があります。

ワークスペース ローカル グループからユーザー、グループ、またはサービス プリンシパルを削除する

  1. ワークスペース管理者として、Azure Databricks ワークスペースにログインします。
  2. Azure Databricks ワークスペースの上部バーでユーザー名を選択し、[設定] を選択します。
  3. [ID およびアクセス管理] タブをクリックします。
  4. [グループ] の横にある [管理] をクリックします。
  5. 更新するグループを選択します。
  6. [メンバー] タブで、削除するユーザー、グループ、またはサービス プリンシパルを見つけて、[アクション] 列の [X] をクリックします。
  7. [メンバーの削除] をクリックして確定します。

Note

削除しようとしているグループの [親] タブに移動して、親ワークスペース ローカル グループから子ワークスペース ローカル グループを削除することもできます。 子ワークスペース ローカル グループの削除元の親グループを見つけて、[アクション] 列の [X] をクリックします。

親ワークスペース ローカル グループを表示する

  1. ワークスペース管理者として、Azure Databricks ワークスペースにログインします。
  2. Azure Databricks ワークスペースの上部バーでユーザー名を選択し、[設定] を選択します。
  3. [ID およびアクセス管理] タブをクリックします。
  4. [グループ] の横にある [管理] をクリックします。
  5. 表示するグループを選びます。
  6. [親グループ] タブで、グループの親グループを表示します。

グループの名前を変更する

  1. ワークスペース管理者として、Azure Databricks ワークスペースにログインします。
  2. Azure Databricks ワークスペースの上部バーでユーザー名を選択し、[設定] を選択します。
  3. [ID およびアクセス管理] タブをクリックします。
  4. [グループ] の横にある [管理] をクリックします。
  5. 表示するグループを選びます。
  6. [名前] で、名前を更新します。
  7. [保存] をクリックします。

Microsoft Entra ID テナントからワークスペース ローカル グループを同期する

ワークスペース レベル SCIM プロビジョニング コネクタを使って、Microsoft Entra ID テナントのグループを Azure Databricks ワークスペースに同期できます。 ワークスペースレベル SCIM プロビジョニングにより、ワークスペースでのみ使用できるワークスペースローカル グループを作成します。 Databricks では、代わりにアカウントレベル SCIM プロビジョニングを使うことをお勧めします。