Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa pagina offre una panoramica dei gruppi in Azure Databricks. Per informazioni su come gestire i gruppi, vedere Gestire i gruppi.
I gruppi semplificano la gestione delle identità semplificando l'assegnazione dell'accesso a aree di lavoro, dati e altri oggetti a protezione diretta. Tutte le identità di Databricks possono essere assegnate come membri di gruppi.
Annotazioni
Questa pagina presuppone che l'area di lavoro abbia la federazione delle identità abilitata, ovvero l'impostazione predefinita per la maggior parte delle aree di lavoro. Per informazioni sulle aree di lavoro legacy senza federazione delle identità, vedere Aree di lavoro legacy senza federazione delle identità.
Raggruppare le origini
I gruppi di Azure Databricks vengono classificati in quattro categorie in base all'origine, come illustrato nella colonna Origine dell'elenco gruppi
| Fonte | Descrizione |
|---|---|
| Conto | È possibile concedere l'accesso ai dati in un metastore del catalogo Unity, assegnare ruoli a principali di servizio e gruppi, nonché concedere autorizzazioni per le aree di lavoro e i relativi oggetti. I membri ereditano le autorizzazioni per gli oggetti dell'area di lavoro da tutti i gruppi di account di cui sono membri, indipendentemente dal fatto che il gruppo sia assegnato all'area di lavoro. Questi sono i gruppi principali per la gestione dell'accesso nell'account Azure Databricks. |
| Esterno | Creato in Azure Databricks dal tuo provider di identità. Questi gruppi rimangono sincronizzati con il provider di identità, ad esempio Microsoft Entra ID. Anche i gruppi esterni sono considerati gruppi di account. |
| Sistema | Creato e gestito da Azure Databricks. Ogni account include un account users gruppo contenente tutti gli utenti e le entità servizio. Ogni area di lavoro ha due gruppi di sistema: users (tutti i soggetti ai quali è stato concesso l'accesso all'area di lavoro) e admins (amministratori dell'area di lavoro). Non è possibile eliminare i gruppi di sistema o modificare le concessioni di diritti. |
| Area di lavoro | Noti come gruppi locali dell'area di lavoro, si tratta di gruppi legacy usati solo all'interno dell'area di lavoro in cui sono stati creati. Non possono essere assegnati ad altre aree di lavoro, non possono ottenere l'accesso ai dati di Unity Catalog e non possono essere assegnati ruoli a livello di account. Databricks consiglia di convertire i gruppi locali dell'area di lavoro in gruppi di account per una funzionalità più ampia. |
Annotazioni
A partire dal 15 giugno 2026, Databricks implementa un nuovo comportamento in cui i diritti dell'area di lavoro vengono concessi in modo esplicito quando le entità vengono aggiunte a un'area di lavoro e i gruppi di sistema dell'area di lavoro (users e admins) non portano più diritti assegnabili. Il gruppo users non avrà alcuna autorizzazione e il gruppo admins avrà tutte le autorizzazioni per l’area di lavoro. Entrambi i diritti dei gruppi sono bloccati. Le autorizzazioni esistenti su users vengono migrate automaticamente in un gruppo clone locale al workspace, in modo che i principal conservino il proprio accesso. Il nuovo comportamento viene abilitato automaticamente il 27 luglio 2026 per le aree di lavoro che non hanno scelto di aderire o non aderire, e viene applicato a tutte le aree di lavoro il 14 settembre 2026. Per altre informazioni, vedere Imminente modifica del comportamento: scegliere i diritti per l'aggiunta di entità alle aree di lavoro.
Quando la gestione automatica delle identità è abilitata, i gruppi del provider di identità sono visibili nella console dell'account e nella pagina delle impostazioni di amministrazione dell'area di lavoro. Il loro stato riflette la loro attività e il loro stato tra il tuo provider di identità e Azure Databricks. Vedere Stati utente e gruppo.
Chi può gestire i gruppi?
Per creare gruppi in Azure Databricks, è necessario:
- Un amministratore dell'account
- Un amministratore dell'area di lavoro
Per gestire i gruppi in Azure Databricks, è necessario avere il ruolo di responsabile del gruppo (anteprima pubblica) in un gruppo. Questo ruolo consente di:
- Gestire l'appartenenza a gruppi
- Eliminare gruppi
- Assegnare il ruolo di gestione del gruppo ad altri utenti
Per impostazione predefinita:
- Gli amministratori dell'account hanno automaticamente il ruolo di responsabile del gruppo per tutti i gruppi.
- Gli amministratori dell'area di lavoro hanno automaticamente il ruolo di gestione del gruppo nei gruppi creati.
I ruoli di Gestione gruppo possono essere configurati da:
- Gli amministratori dell'account, utilizzando la console dell'account
- Amministratori dell'area di lavoro, usando la pagina delle impostazioni di amministrazione dell'area di lavoro
- Gestori di gruppi non amministratori, usando l'API Controllo di accesso degli account
Gli amministratori dell'area di lavoro possono anche creare e gestire gruppi legacy locali dell'area di lavoro.
Sincronizzare i gruppi con l'account Azure Databricks da Microsoft Entra ID
Databricks consiglia di sincronizzare i gruppi dall'ID Microsoft Entra all'account Azure Databricks.
È possibile sincronizzare i gruppi dall'ID Microsoft Entra automaticamente o usando un connettore di provisioning SCIM.
La gestione automatica delle identità consente di aggiungere utenti, entità servizio e gruppi da Microsoft Entra ID in Azure Databricks senza configurare un'applicazione in Microsoft Entra ID. Databricks usa l'ID Microsoft Entra come origine del record, pertanto tutte le modifiche apportate agli utenti o alle appartenenze ai gruppi vengono rispettate in Azure Databricks. La gestione automatica delle identità supporta i gruppi annidati. La gestione automatica delle identità è abilitata per impostazione predefinita per gli account creati dopo il 1° agosto 2025. Per informazioni dettagliate, vedere Gestione automatica delle identità.
Il provisioning SCIM consente di configurare un'applicazione aziendale in Microsoft Entra ID per mantenere gli utenti e i gruppi sincronizzati con Microsoft Entra ID. Il provisioning SCIM non supporta i gruppi annidati. Per istruzioni, vedere Sincronizzare utenti e gruppi da Microsoft Entra ID con SCIM.