Migrer le contrôle des droits d’utilisation de l’espace de travail

Migrez le contrôle des droits de l’espace de travail afin de sélectionner les droits de chaque utilisateur ou groupe lors de son ajout, au lieu que les utilisateurs ou groupes héritent automatiquement des autorisations du groupe système users. Cela vous donne un contrôle précis sur l’accès à l’espace de travail et vous permet d’ajouter des utilisateurs consommateurs uniquement sans accorder d’autorisations de création. Cela deviendra le comportement par défaut pour tous les espaces de travail. Vous pouvez migrer tôt pour le tester selon votre propre planification.

La migration modifie le users fonctionnement des groupes système et admins les droits existants vers un nouveau groupe afin que les principaux conservent leur accès actuel. Cette page décrit le nouveau comportement, les étapes de migration et les actions de pré-migration requises.

Vue d’ensemble

Chaque espace de travail a deux groupes système : users, qui inclut tous les principaux autorisés à accéder à l’espace de travail et admins, qui inclut les administrateurs de l’espace de travail. Aujourd’hui, chaque principal ajouté à un espace de travail hérite des droits accordés à users. Par défaut, ces droits sont les suivants :

Accès à l’espace de travail : créez et utilisez des blocs-notes, des travaux, des pipelines, des applications, etc.
Accès à Databricks SQL : Créez et utilisez des tableaux de bord, les espaces Genie, des alertes et plus encore.

Après la modification :

Vous sélectionnez les autorisations de chaque utilisateur principal au moment de leur ajout. Vous pouvez ajouter des utilisateurs à n’importe quel niveau d’accès, y compris des utilisateurs ayant uniquement un accès en tant que consommateurs, sans qu’ils héritent automatiquement des droits de modification.
Le users groupe n’a aucun droit et le admins groupe dispose de tous les droits d’espace de travail. Aucun des deux ne peut être modifié.
Vous ne pouvez pas imbriquer les groupes users et admins comme membres d’autres groupes.

Les principaux existants conservent leur niveau d’accès actuel. Azure Databricks migre automatiquement les autorisations précédemment accordées à users vers un nouveau groupe clone local à l’espace de travail portant le nom par défaut users-clone-<TIMESTAMP>, où <TIMESTAMP> correspond à l’heure de la migration. Vous pouvez renommer le groupe pendant la migration et le gérer comme n’importe quel autre groupe local d’espace de travail. Le admins groupe ne nécessite pas de migration, car il dispose automatiquement de tous les droits d’espace de travail.

Chronologie

Cela deviendra le comportement par défaut pour tous les espaces de travail. La modification se produit en trois phases :

15 juin 2026 – Opt-in disponible. Migrez un espace de travail tôt pour tester le nouveau comportement.
27 juillet 2026 – Activé automatiquement pour les espaces de travail qui n’ont ni activé ni désactivé cette option. Vous pouvez toujours désactiver temporairement cette option jusqu’à son entrée en vigueur.
14 septembre 2026 : appliqué pour tous les espaces de travail. La désactivation n’est plus disponible.

Pour plus d’informations, consultez Changement de comportement à venir : choisissez les autorisations lors de l’ajout d’utilisateurs ou de groupes à des espaces de travail.

Avant de commencer

Vous devez être administrateur d’espace de travail pour migrer un espace de travail et gérer le nouveau comportement.

Note

Cette modification ne s'applique pas aux espaces de travail Azure Government. Ces espaces de travail ne sont pas migrés.

Effectuez les actions suivantes avant que le nouveau comportement soit activé dans votre espace de travail :

Automatisation : si vous gérez les droits de groupe système via Terraform, les API SCIM de l’espace de travail ou les scripts personnalisés, mettez à jour vos flux de travail pour cibler des groupes de comptes, et non des groupes système. Après Azure Databricks active le nouveau comportement, les tentatives de modification des droits de groupe système échouent.
Groupes système imbriqués : si users ou admins est imbriqué comme membre d’un autre groupe, supprimez cet imbriquement. Le nouveau comportement n’autorise pas l’imbrication.
Synchronisation SCIM : si votre synchronisation SCIM supprime les groupes d’espaces de travail qu’elle ne reconnaît pas, mettez à jour sa configuration pour conserver le groupe de clones de migration (users-clone-<TIMESTAMP>). Si la synchronisation supprime le groupe clone, les principaux migrés vers celui-ci perdent leurs droits.

Migrer un espace de travail

Vous gérez ce nouveau comportement dans le paramètre Nouveau comportement : Choisir les autorisations lors de l’ajout d’identités aux espaces de travail des paramètres de votre espace de travail.

Pour migrer un espace de travail vers le nouveau comportement :

En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
Cliquez sur votre nom d’utilisateur dans la barre supérieure, puis sélectionnez Paramètres.
Cliquez sur l’onglet Avancé.
Sous Contrôle d’accès, recherchez un nouveau comportement : choisissez les droits d’utilisation lors de l’ajout de principaux à des espaces de travail. L’état indique le comportement hérité (l’action peut être nécessaire).
Cliquez sur Gérer.
Dans la boîte de dialogue, examinez les autorisations actuelles pour les groupes users et admins. Dans Comportement pour cet espace de travail, sélectionnez Utiliser un nouveau comportement.
Dans le nom du groupe clone, entrez un nom pour le groupe qui reçoit les droits accordés à users, ou conservez la valeur par défaut. Ce groupe conserve les droits de vos principaux existants.
Cliquez sur Enregistrer.

Azure Databricks migre les droits sur users vers le groupe cloné. Les principaux directement affectés à l’espace de travail sont ajoutés au groupe clone afin qu’ils conservent leur accès. Ces principaux incluent des utilisateurs et des principaux de service directement ajoutés, ainsi que tous les groupes de comptes affectés à l’espace de travail.

Une fois la migration terminée, le paramètre indique que l’espace de travail utilise le nouveau comportement.

Paramètre de contrôle d’accès indiquant l’espace de travail pour le nouveau comportement.

Vérifier les modifications

Une fois la migration terminée, vérifiez que les modifications sont appliquées correctement :

En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
Cliquez sur votre nom d’utilisateur dans la barre supérieure, puis sélectionnez Paramètres.
Cliquez sur l’onglet Identité et accès .
À côté de Groupes, cliquez sur Gérer.
Vérifiez les éléments suivants :
- Le groupe clone existe et dispose des droits que le groupe avait avant la users migration.
- Le groupe cloné contient les identités qui ont été ajoutées directement à l’espace de travail via users, y compris les utilisateurs ajoutés directement, les principaux de service et tous les groupes de comptes attribués à l’espace de travail.
- Le users groupe n’a aucun droit et le admins groupe dispose de tous les droits d’espace de travail.

Note

Le groupe cloné contient uniquement des membres directs, il peut donc afficher moins de membres que le groupe users, qui inclut toutes les personnes ajoutées via des appartenances à des groupes de comptes. Cela ne signifie pas que personne n’a perdu l’accès. Les principaux qui ont rejoint l’espace de travail via un groupe de comptes restent couverts, car ce groupe de comptes est ajouté au groupe clone. Les groupes locaux d’espace de travail ne sont pas copiés, car ils n’accordent pas l’appartenance à l’espace de travail.

Considérations et bonnes pratiques

Tenez compte des éléments suivants lorsque vous migrez un espace de travail :

Ajout de principaux après la migration : une fois le nouveau comportement activé, vous sélectionnez les droits de chaque principal lorsque vous les ajoutez à l’espace de travail. Pour accorder des autorisations de création, sélectionnez Accès à l’espace de travail ou Accès SQL Databricks. Pour ajouter un consommateur en lecture seule, accordez seulement l’accès consommateur. Pour plus d’informations, consultez Qu’est-ce que l’accès consommateur ? et Utiliser Genie One.
Gestion du groupe clone : le users-clone-<TIMESTAMP> groupe est un groupe local d’espace de travail standard. Gérez son appartenance et ses droits comme n’importe quel autre groupe. Consultez Gérer les groupes.
Désactivation : si vous optez après la migration, le users-clone-<TIMESTAMP> groupe reste. Vous pouvez le conserver et le gérer, ou le supprimer manuellement.
Coordination avec les fournisseurs d’identité : si vous utilisez le provisionnement SCIM pour synchroniser les utilisateurs et les groupes, coordonnez cette modification avec vos processus de gestion des identités afin que le groupe clone soit conservé. Voir Synchroniser les utilisateurs et groupes de Microsoft Entra ID à l'aide de SCIM.

Nouveautés suivantes

Après la migration d’un espace de travail, vous souhaiterez peut-être :

Gérez l’appartenance au groupe pour accorder des autorisations de création aux principaux en les ajoutant au groupe clone. Consultez Gérer les groupes.
Passez en revue et ajustez les droits pour les principaux ou groupes individuels. Consultez Gérer les droits d’utilisation.
En savoir plus sur l’expérience d’accès au consommateur. Voir Qu’est-ce que l’accès au consommateur ? et Utiliser Genie One.
Configurez les contrôles de gouvernance des données pour les utilisateurs consommateurs. Consultez les filtres de lignes et les masques de colonne.

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2026-06-24