Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Migrar el control de derechos de acceso del espacio de trabajo para seleccionar los derechos de cada principal al añadirlo, en lugar de que los principales hereden automáticamente los permisos del grupo del sistema users. Esto le proporciona un control preciso sobre el acceso al área de trabajo y le permite agregar usuarios solo para consumidores sin conceder permisos de creación. Esto se convertirá en el comportamiento predeterminado de todas las áreas de trabajo. Puede migrar temprano para probarlo según su propia programación.
La migración cambia el funcionamiento de los users grupos de sistemas y admins y mueve los derechos existentes a un nuevo grupo para que las entidades de seguridad mantengan su acceso actual. En esta página se tratan los nuevos comportamientos, los pasos de migración y las acciones previas a la migración necesarias.
Overview
Cada área de trabajo tiene dos grupos del sistema: users, que incluye todos los principales a los que se les ha concedido acceso al área de trabajo, y admins, que incluye a los administradores del área de trabajo. Actualmente, cada identidad que se agrega a un espacio de trabajo hereda los permisos concedidos a users. De forma predeterminada, estos derechos son:
- Acceso al área de trabajo: cree y use cuadernos, trabajos, canalizaciones, aplicaciones, etc.
- Acceso a SQL de Databricks: cree y use paneles, Genie Spaces, alertas y mucho más.
Después del cambio:
Al agregarlos, seleccione los derechos de cada entidad de seguridad. Puede agregar entidades de seguridad en cualquier nivel de acceso, incluidos los usuarios solo consumidores, sin que hereden automáticamente los permisos de autoría.
El grupo
usersno tiene permisos, y el grupoadminstiene todos los permisos del área de trabajo. Tampoco se puede cambiar.No se pueden anidar los grupos
usersyadminsdentro de otros grupos.
Las entidades existentes mantienen su nivel de acceso actual. Azure Databricks migra automáticamente los derechos de acceso concedidos previamente a users a un nuevo grupo clonado local del área de trabajo con el nombre predeterminado users-clone-<TIMESTAMP>, donde <TIMESTAMP> es la hora de la migración. Puede cambiar el nombre del grupo durante la migración y administrarlo como cualquier otro grupo local del área de trabajo. El admins grupo no requiere la migración porque se le conceden automáticamente todos los derechos del área de trabajo.
Línea de tiempo
Esto se convertirá en el comportamiento predeterminado de todas las áreas de trabajo. El cambio se produce en tres fases:
- 15 de junio de 2026 – Suscripción voluntaria disponible. Migre un área de trabajo antes para probar el nuevo comportamiento.
- 27 de julio de 2026: se habilitará automáticamente para los espacios de trabajo que no hayan optado ni por la inclusión ni por la exclusión. Aún puede excluirse temporalmente hasta que sea obligatorio.
- 14 de septiembre de 2026 : se aplica a todas las áreas de trabajo. La opción de darse de baja ya no está disponible.
Para obtener más información, consulte Próximo cambio de comportamiento: elija permisos al agregar entidades de seguridad a áreas de trabajo.
Antes de empezar
Debe ser administrador del área de trabajo para migrar un área de trabajo y administrar el nuevo comportamiento.
Nota:
Este cambio no se aplica a las áreas de trabajo de Azure Government. Esas áreas de trabajo no se migran.
Realice las siguientes acciones antes de que el nuevo comportamiento esté habilitado en el área de trabajo:
- Automation: Si administra los derechos de los grupos del sistema a través de Terraform, las API de SCIM de Workspace o scripts personalizados, actualice sus flujos de trabajo para que apunten a los grupos de la cuenta, no a los grupos del sistema. Una vez que Azure Databricks habilite el nuevo comportamiento, los intentos de modificar los permisos de los grupos del sistema fallan.
-
Grupos de sistemas anidados: si
usersoadminsestá anidado como miembro de otro grupo, quite el anidamiento. El nuevo comportamiento no permite el anidamiento. -
Sincronización de SCIM: si la sincronización de SCIM elimina los grupos de áreas de trabajo que no reconoce, actualice su configuración para conservar el grupo de clonación de migración (
users-clone-<TIMESTAMP>). Si la sincronización quita el grupo clonado, las entidades de seguridad migradas a ella pierden sus derechos.
Migración de un área de trabajo
Puede gestionar el nuevo comportamiento desde la opción Nuevo comportamiento: elegir derechos al agregar entidades de seguridad a las áreas de trabajo en la configuración de su área de trabajo.
Para migrar un área de trabajo al nuevo comportamiento:
Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
Haga clic en el nombre de usuario en la barra superior y seleccione Configuración.
Haga clic en la pestaña Opciones avanzadas.
En Control de acceso, busque Nuevo comportamiento: elija permisos al agregar entidades de seguridad a espacios de trabajo. El estado muestra el comportamiento heredado (es posible que sea necesario realizar la acción).
Haga clic en Administrar.
En el cuadro de diálogo, revise las concesiones actuales de derechos de los grupos
usersyadmins. En Comportamiento para esta área de trabajo, seleccione Usar nuevo comportamiento.En Clone group name (Clonar nombre de grupo), escriba un nombre para el grupo que recibe los derechos concedidos a
userso mantenga el valor predeterminado. Este grupo conserva los derechos de sus entidades principales existentes.
Haz clic en Guardar.
Azure Databricks migra los derechos de
usersal grupo clonado. Los principales de seguridad asignados directamente al área de trabajo se agregan al grupo clonado para que mantengan su acceso. Estas identidades incluyen los usuarios y las identidades de servicio añadidos directamente, además de los grupos de la cuenta asignados al espacio de trabajo.
Una vez completada la migración, la configuración muestra que el área de trabajo está en el nuevo comportamiento.
Comprobación de los cambios
Después de completar la migración, compruebe que los cambios se aplicaron correctamente:
- Como administrador del área de trabajo, inicie sesión en el área de trabajo de Azure Databricks.
- Haga clic en el nombre de usuario en la barra superior y seleccione Configuración.
- Haga clic en la pestaña Identidad y acceso .
- Junto a Grupos, haga clic en Administrar.
- Compruebe lo siguiente:
- El grupo clonado existe y tiene los derechos que tenía el grupo antes de la
usersmigración. - El grupo clonado contiene las identidades que se añadieron directamente al área de trabajo a través de
users, incluidos los usuarios añadidos directamente, las entidades de servicio y todos los grupos de cuentas asignados al área de trabajo. - El grupo
usersno tiene permisos, y el grupoadminstiene todos los permisos del área de trabajo.
- El grupo clonado existe y tiene los derechos que tenía el grupo antes de la
Nota:
El grupo clonado solo contiene miembros directos, por lo que podría mostrar menos miembros que el users grupo, que incluye a todos los usuarios agregados a través de pertenencias a grupos de cuentas. Esto no significa que nadie haya perdido el acceso. Las entidades de seguridad que se incorporaron al área de trabajo a través de un grupo de cuentas siguen estando cubiertas porque ese grupo de cuentas se añade al grupo clonado. Los grupos locales del espacio de trabajo no se copian porque no otorgan pertenencia al espacio de trabajo.
Consideraciones y procedimientos recomendados
Tenga en cuenta lo siguiente al migrar un área de trabajo:
- Añadir entidades de seguridad después de la migración: después de habilitar el nuevo comportamiento, selecciona los permisos de cada entidad de seguridad al añadirlas al área de trabajo. Para conceder permisos de creación, seleccione Acceso al área de trabajo o Acceso a SQL de Databricks. Para añadir un consumidor de solo lectura, conceda solo acceso de consumidor. Para obtener más información, consulte ¿Qué es el acceso de consumidor? y Use Genie One.
-
Administración del grupo clonado: el
users-clone-<TIMESTAMP>grupo es un grupo local del área de trabajo estándar. Administre su pertenencia y derechos como cualquier otro grupo. Consulte Administración de grupos. -
No participar: si opta por no participar después de la migración, el
users-clone-<TIMESTAMP>grupo permanece. Puede mantenerla y administrarla o eliminarla manualmente. - Coordinación con proveedores de identidades: si usa el aprovisionamiento de SCIM para sincronizar usuarios y grupos, coordine este cambio con los procesos de administración de identidades para que se conserve el grupo clonado. Consulte Sincronizar usuarios y grupos desde Microsoft Entra ID utilizando SCIM.
Qué es lo siguiente
Después de migrar un área de trabajo, es posible que desee:
- Administre la pertenencia al grupo para conceder permisos de autoría a los principales agregándolos al grupo de clonación. Consulte Administración de grupos.
- Revisar y ajustar los permisos de usuarios individuales o grupos. Consulte Administración de derechos.
- Obtenga más información sobre la experiencia de acceso al consumidor. Consulte ¿Qué es el acceso del consumidor? y Usar Genie One.
- Configurar controles de gobernanza de datos para los usuarios consumidores. Consulte Filtros de fila y máscaras de columna.