Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Stellen Sie die Berechtigungssteuerung für den Workspace so um, dass Sie beim Hinzufügen jedes einzelnen Prinzipals dessen Berechtigungen auswählen, anstatt dass Prinzipale Berechtigungen automatisch von der users Systemgruppe erben. Auf diese Weise können Sie den Zugriff auf Arbeitsbereiche präzise steuern und Benutzer hinzufügen, die ausschließlich Consumer-Zugriff haben, ohne dass diesen automatisch Erstellungsrechte zugewiesen werden. Dies wird zum Standardverhalten für alle Arbeitsbereiche. Sie können frühzeitig migrieren, um sie in Ihrem eigenen Zeitplan zu testen.
Die Migration ändert, wie die Systemgruppen users und admins funktionieren, und verschiebt bestehende Berechtigungen in eine neue Gruppe, sodass Prinzipale ihren aktuellen Zugriff behalten. Diese Seite behandelt das neue Verhalten, die Migrationsschritte und die erforderlichen Vormigrationsaktionen.
Overview
Jeder Arbeitsbereich verfügt über zwei Systemgruppen: users, die alle Prinzipale umfasst, denen Zugriff auf den Arbeitsbereich gewährt wurde, und admins, die die Arbeitsbereichsadministratoren umfasst. Heute erbt jeder Prinzipal, der einem Arbeitsbereich hinzugefügt wurde, die Berechtigungen, die users gewährt werden. Standardmäßig sind diese Berechtigungen:
- Arbeitsbereichszugriff: Erstellen und Verwenden von Notizbüchern, Aufträgen, Pipelines, Apps und mehr.
- Databricks SQL-Zugriff: Erstellen und Verwenden von Dashboards, Genie Spaces, Warnungen und mehr.
Nach der Änderung:
Sie wählen die Berechtigungen der einzelnen Prinzipale aus, wenn Sie sie hinzufügen. Sie können Sicherheitsprinzipale auf jeder Zugriffsebene hinzufügen, einschließlich bei Benutzern, die ausschließlich Consumer-Zugriff haben, ohne dass diese automatisch Erstellungsrechte erben.
Die
usersGruppe hat keine Berechtigungen, und dieadminsGruppe verfügt über alle Arbeitsbereichsberechtigungen. Keines kann geändert werden.Sie können die Gruppen
usersundadminsnicht als Mitglieder anderer Gruppen verschachteln.
Vorhandene Prinzipale behalten ihre aktuelle Zugriffsebene bei. Azure Databricks migriert die zuvor users gewährten Berechtigungen automatisch zu einer neuen, arbeitsbereichslokalen Klongruppe mit dem Standardnamen users-clone-<TIMESTAMP>, wobei <TIMESTAMP> der Zeitpunkt der Migration ist. Sie können die Gruppe während der Migration umbenennen und wie jede andere arbeitsbereichslokale Gruppe verwalten. Die admins Gruppe erfordert keine Migration, da alle Arbeitsbereichsberechtigungen automatisch erteilt werden.
Zeitachse
Dies wird zum Standardverhalten für alle Arbeitsbereiche. Die Änderung erfolgt in drei Phasen:
- 15. Juni 2026 – Opt-In verfügbar. Migrieren Sie einen Arbeitsbereich frühzeitig, um das neue Verhalten zu testen.
- 27. Juli 2026 – Wird automatisch für Arbeitsbereiche aktiviert, die sich weder dafür noch dagegen entschieden haben. Sie können die Funktion bis zur Durchsetzung weiterhin vorübergehend deaktivieren.
- 14. September 2026 – Wird für alle Arbeitsbereiche erzwungen. Die Abmeldung ist nicht mehr verfügbar.
Weitere Informationen finden Sie unter Bevorstehende Verhaltensänderung: Berechtigungen beim Hinzufügen von Prinzipalen zu Arbeitsbereichen auswählen.
Bevor Sie anfangen
Sie müssen ein Arbeitsbereichsadministrator sein, um einen Arbeitsbereich zu migrieren und das neue Verhalten zu verwalten.
Note
Diese Änderung gilt nicht für Azure Government Arbeitsbereiche. Diese Arbeitsbereiche werden nicht migriert.
Führen Sie die folgenden Aktionen aus, bevor das neue Verhalten in Ihrem Arbeitsbereich aktiviert ist:
- Automatisierung: Wenn Sie Systemgruppenberechtigungen über Terraform, Workspace SCIM-APIs oder benutzerdefinierte Skripts verwalten, aktualisieren Sie Ihre Workflows auf Zielkontogruppen, nicht auf Systemgruppen. Nachdem Azure Databricks das neue Verhalten aktiviert hat, schlagen Versuche zum Ändern von Systemgruppenberechtigungen fehl.
-
Geschachtelte Systemgruppen: Wenn
usersoderadminsals Mitglied einer anderen Gruppe geschachtelt ist, entfernen Sie die Schachtelung. Das neue Verhalten lässt keine Schachtelung zu. -
SCIM-Synchronisierung: Wenn Ihre SCIM-Synchronisierung Workspace-Gruppen löscht, die sie nicht erkennt, aktualisieren Sie die Konfiguration so, dass die Migrationsklon-Gruppe (
users-clone-<TIMESTAMP>) beibehalten wird. Wenn die Synchronisierung die Klongruppe entfernt, verlieren Prinzipale, die zu ihr migriert wurden, ihre Berechtigungen.
Migrieren eines Arbeitsbereichs
Sie verwalten das neue Verhalten über die Einstellung Neues Verhalten: Berechtigungen beim Hinzufügen von Prinzipalen zu Arbeitsbereichen auswählen in Ihren Arbeitsbereichseinstellungen.
Um einen Arbeitsbereich auf das neue Verhalten zu migrieren:
Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.
Klicken Sie in der oberen Leiste auf Ihren Benutzernamen, und wählen Sie "Einstellungen" aus.
Klicken Sie auf die Registerkarte Erweitert.
Suchen Sie unter Zugriffskontrolle nach Neues Verhalten: Wählen Sie Berechtigungen aus, wenn Sie Prinzipale zu Arbeitsbereichen hinzufügen. Der Status zeigt Legacyverhalten (möglicherweise Aktion erforderlich) an.
Klicken Sie auf Verwalten.
Überprüfen Sie im Dialogfeld die aktuell erteilten Berechtigungen für die Gruppen
usersundadmins. Wählen Sie unter "Verhalten für diesen Arbeitsbereich" die Option "Neues Verhalten verwenden" aus.Geben Sie in Name der Klongruppe einen Namen für die Gruppe ein, die die Berechtigungen erhält, die
usersgewährt wurden, oder übernehmen Sie den Standardwert. Diese Gruppe behält die Berechtigungen Ihrer vorhandenen Prinzipale bei.
Klicke auf Speichern.
Azure Databricks migriert die Berechtigungen auf
usersin die Klon-Gruppe. Die direkt dem Arbeitsbereich zugewiesenen Prinzipale werden der Klongruppe hinzugefügt, damit sie ihren Zugriff behalten. Diese Prinzipale umfassen direkt hinzugefügte Benutzer und Dienstprinzipale sowie alle Kontogruppen, die dem Arbeitsbereich zugewiesen sind.
Nach Abschluss der Migration zeigt die Einstellung an, dass für den Arbeitsbereich das neue Verhalten gilt.
Überprüfen der Änderungen
Überprüfen Sie nach Abschluss der Migration, ob die Änderungen ordnungsgemäß angewendet wurden:
- Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks Arbeitsbereich an.
- Klicken Sie in der oberen Leiste auf Ihren Benutzernamen, und wählen Sie "Einstellungen" aus.
- Klicken Sie auf die Registerkarte "Identität und Zugriff ".
- Klicken Sie neben Gruppen auf Verwalten.
- Überprüfen Sie Folgendes:
- Die Klongruppe ist vorhanden und verfügt über die Berechtigungen, die die Gruppe vor der
usersMigration hatte. - Die Klongruppe enthält die Prinzipale, die dem Arbeitsbereich über
usersdirekt hinzugefügt wurden, einschließlich direkt hinzugefügter Benutzer, Dienstprinzipale sowie aller dem Arbeitsbereich zugewiesenen Kontogruppen. - Die
usersGruppe hat keine Berechtigungen, und dieadminsGruppe verfügt über alle Arbeitsbereichsberechtigungen.
- Die Klongruppe ist vorhanden und verfügt über die Berechtigungen, die die Gruppe vor der
Note
Die Klon-Gruppe enthält nur direkte Mitglieder, daher werden darin möglicherweise weniger Mitglieder angezeigt als in der users Gruppe, die alle Personen umfasst, die über Mitgliedschaften in Kontogruppen hinzugefügt wurden. Dies bedeutet nicht, dass jemand Zugriff verloren hat. Prinzipale, die dem Arbeitsbereich über eine Kontogruppe beigetreten sind, bleiben abgedeckt, da diese Kontogruppe der Klongruppe hinzugefügt wird. Arbeitsbereichslokale Gruppen werden nicht kopiert, da sie keine Arbeitsbereichsmitgliedschaft gewähren.
Überlegungen und bewährte Methoden
Berücksichtigen Sie beim Migrieren eines Arbeitsbereichs Folgendes:
- Hinzufügen von Prinzipale nach der Migration: Nachdem das neue Verhalten aktiviert wurde, wählen Sie die Berechtigungen der einzelnen Prinzipale aus, wenn Sie sie dem Arbeitsbereich hinzufügen. Um Erstellungsberechtigungen zu gewähren, wählen Sie Arbeitsbereichszugriff oder Databricks SQL-Zugriff aus. Um einen Consumer mit Nur-Lesezugriff hinzuzufügen, gewähren Sie nur Consumer-Zugriff. Weitere Informationen finden Sie unter Was ist der Verbraucherzugriff? Und verwenden Sie Genie One.
-
Verwalten der Klongruppe: Die
users-clone-<TIMESTAMP>Gruppe ist eine standardmäßige arbeitsbereichslokale Gruppe. Verwalten Sie ihre Mitgliedschaft und Berechtigungen wie jede andere Gruppe. Weitere Informationen finden Sie unter Verwalten von Gruppen. -
Abmelden: Wenn Sie sich nach der Migration abmelden, bleibt die
users-clone-<TIMESTAMP>Gruppe bestehen. Sie können sie beibehalten und verwalten oder manuell löschen. - Koordination mit Identitätsanbietern: Wenn Sie die SCIM-Bereitstellung zum Synchronisieren von Benutzern und Gruppen verwenden, koordinieren Sie diese Änderung mit Ihren Identitätsverwaltungsprozessen, damit die Klongruppe erhalten bleibt. Siehe Synchronisieren von Benutzern und Gruppen aus Microsoft Entra ID mit SCIM.
Was kommt als nächstes
Nach der Migration eines Arbeitsbereichs können Sie folgende Aktionen ausführen:
- Verwalten Sie die Gruppenmitgliedschaft, um den Prinzipalen Autorenberechtigungen zu erteilen, indem Sie sie der Klongruppe hinzufügen. Weitere Informationen finden Sie unter Verwalten von Gruppen.
- Überprüfen und passen Sie die Berechtigungen für einzelne Prinzipale oder Gruppen an. Siehe Verwalten von Berechtigungen.
- Erfahren Sie mehr über die Benutzerzugriffserfahrung. Siehe Was ist der Verbraucherzugriff? und Genie One verwenden.
- Konfigurieren Sie Data-Governance-Kontrollen für Consumer-Benutzer. Siehe Zeilenfilter und Spaltenmasken.