Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Migra il controllo dei diritti dell'area di lavoro in modo da selezionare i diritti di ciascun principale quando lo aggiungi, invece di fare ereditare automaticamente ai principali le autorizzazioni dal gruppo di sistema users. In questo modo è possibile controllare con precisione l'accesso allo spazio di lavoro e aggiungere utenti consumer senza concedere autorizzazioni di modifica. Questo diventerà il comportamento predefinito per tutte le aree di lavoro. È possibile eseguire la migrazione anticipata per testarla in base alla propria pianificazione.
La migrazione modifica il funzionamento dei users gruppi di sistema e admins sposta i diritti esistenti in un nuovo gruppo in modo che le entità mantengano l'accesso corrente. Questa pagina illustra il nuovo comportamento, i passaggi di migrazione e le azioni di pre-migrazione necessarie.
Overview
Ogni area di lavoro ha due gruppi di sistema: users, che include tutte le entità a cui è concesso l'accesso all'area di lavoro e admins, che include gli amministratori dell'area di lavoro. Attualmente, ogni entità aggiunta a un'area di lavoro eredita i diritti concessi a users. Per impostazione predefinita, questi diritti sono:
- Accesso all'area di lavoro: creare e usare notebook, processi, pipeline, app e altro ancora.
- Accesso SQL di Databricks: creare e usare dashboard, Genie Spaces, avvisi e altro ancora.
Dopo la modifica:
Si selezionano le autorizzazioni di ciascun soggetto quando lo si aggiunge. È possibile aggiungere entità a qualsiasi livello di accesso, inclusi gli utenti solo consumer, senza ereditare automaticamente le autorizzazioni di creazione.
Il gruppo
usersnon dispone di alcuna autorizzazione, mentre il gruppoadminsdispone di tutte le autorizzazioni per l'area di lavoro. Nessuno dei due può essere modificato.Non è possibile annidare i gruppi
userseadminsall'interno di altri gruppi come membri.
Le entità esistenti mantengono il livello di accesso corrente. Azure Databricks esegue automaticamente la migrazione dei diritti concessi in precedenza a users a un nuovo gruppo clone locale dell'area di lavoro con il nome predefinito di users-clone-<TIMESTAMP>, dove <TIMESTAMP> indica il momento della migrazione. È possibile rinominare il gruppo durante la migrazione e gestirlo come qualsiasi altro gruppo locale dell'area di lavoro. Il admins gruppo non richiede la migrazione perché ha concesso automaticamente tutti i diritti dell'area di lavoro.
Linea temporale
Questo diventerà il comportamento predefinito per tutte le aree di lavoro. La modifica avviene in tre fasi:
- 15 giugno 2026 - Consenso esplicito disponibile. Eseguire la migrazione anticipata di un'area di lavoro per testare il nuovo comportamento.
- 27 luglio 2026 – Attivazione automatica per le aree di lavoro che non hanno scelto né di aderire né di non aderire. È comunque possibile disattivarla temporaneamente fino all'applicazione obbligatoria.
- 14 settembre 2026 - Applicato per tutte le aree di lavoro. Il rifiuto esplicito non è più disponibile.
Per altre informazioni, vedere Imminente modifica del comportamento: scegliere i diritti per l'aggiunta di entità alle aree di lavoro.
Prima di iniziare
È necessario essere un amministratore dell'area di lavoro per eseguire la migrazione di un'area di lavoro e gestire il nuovo comportamento.
Nota
Questa modifica non si applica alle aree di lavoro Azure per enti pubblici. Tali aree di lavoro non vengono migrate.
Eseguire le azioni seguenti prima che il nuovo comportamento sia abilitato nell'area di lavoro:
- Automazione: se si gestiscono i diritti del gruppo di sistema tramite Terraform, API SCIM dell'area di lavoro o script personalizzati, aggiornare i flussi di lavoro ai gruppi di account di destinazione, non ai gruppi di sistema. Dopo che Azure Databricks abilita il nuovo comportamento, i tentativi di modificare i diritti del gruppo di sistema hanno esito negativo.
-
Gruppi di sistema annidati: se
usersoadminsè annidato come membro di un altro gruppo, rimuovere l'annidamento. Il nuovo comportamento non consente l'annidamento. -
Sincronizzazione SCIM: se la sincronizzazione SCIM elimina i gruppi di aree di lavoro che non riconosce, aggiornarne la configurazione per mantenere il gruppo clone di migrazione (
users-clone-<TIMESTAMP>). Se la sincronizzazione rimuove il gruppo clonato, le identità migrate al suo interno perdono le autorizzazioni.
Eseguire la migrazione di un'area di lavoro
Puoi gestire il nuovo comportamento dall'impostazione Nuovo comportamento: scegli le autorizzazioni quando aggiungi principali alle aree di lavoro nelle impostazioni dell'area di lavoro.
Per eseguire la migrazione di un'area di lavoro al nuovo comportamento:
In quanto amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.
Fare clic sul nome utente nella barra superiore e selezionare Impostazioni.
Fare clic sulla scheda Avanzate .
In Controllo di accesso trovare Nuovo comportamento: scegliere i diritti quando si aggiungono entità alle aree di lavoro. Lo stato indica comportamento precedente (potrebbe essere necessaria un'azione).
Fare clic su Gestisci.
Nella finestra di dialogo, esamina le assegnazioni correnti dei diritti per i gruppi
userseadmins. In Comportamento per questa area di lavoro selezionare Usa nuovo comportamento.In Nome gruppo clone immettere un nome per il gruppo che riceve i diritti concessi a
userso mantenere l'impostazione predefinita. Questo gruppo mantiene i diritti delle entità esistenti.
Fai clic su Salva.
Azure Databricks esegue la migrazione dei diritti
usersal gruppo clone. Le entità assegnate direttamente all'area di lavoro vengono aggiunte al gruppo clone in modo che mantengano l'accesso. Queste entità includono utenti e entità servizio aggiunti direttamente, oltre a tutti i gruppi di account assegnati all'area di lavoro.
Al termine della migrazione, l'impostazione indica che l'area di lavoro si trova nel nuovo comportamento.
Verificare le modifiche
Dopo aver completato la migrazione, verificare che le modifiche siano state applicate correttamente:
- Come amministratore dell'area di lavoro, accedere all'area di lavoro Azure Databricks.
- Fare clic sul nome utente nella barra superiore e selezionare Impostazioni.
- Fare clic sulla scheda Identità e accesso .
- Accanto a Gruppi, fare clic su Gestisci.
- Verificare quanto segue:
- Il gruppo clone esiste e ha i diritti che il gruppo aveva prima della
usersmigrazione. - Il gruppo clone contiene le entità aggiunte direttamente all'area di lavoro tramite
users, inclusi gli utenti aggiunti direttamente, le entità servizio e tutti i gruppi di account assegnati all'area di lavoro. - Il gruppo
usersnon dispone di alcuna autorizzazione, mentre il gruppoadminsdispone di tutte le autorizzazioni per l'area di lavoro.
- Il gruppo clone esiste e ha i diritti che il gruppo aveva prima della
Nota
Il gruppo clone contiene solo membri diretti, pertanto potrebbe mostrare un numero inferiore di membri rispetto al users gruppo, che include tutti gli utenti aggiunti tramite le appartenenze ai gruppi di account. Questo non significa che nessuno abbia perso l'accesso. I principal che hanno aderito all'area di lavoro tramite un gruppo di account restano inclusi perché quel gruppo di account viene aggiunto al gruppo clonato. I gruppi locali dell'area di lavoro non vengono copiati perché non assegnano l'appartenenza all'area di lavoro.
Considerazioni e procedure consigliate
Quando si esegue la migrazione di un'area di lavoro, tenere presente quanto segue:
- Aggiunta di soggetti dopo la migrazione: dopo aver abilitato il nuovo comportamento, selezioni le autorizzazioni di ciascun soggetto quando lo aggiungi all'area di lavoro. Per concedere le autorizzazioni di creazione, selezionare Accesso all'area di lavoro o Accesso SQL di Databricks. Per aggiungere un consumer con accesso in sola visualizzazione, concedere solo accesso consumer. Per altre informazioni, vedere Che cos'è l'accesso degli utenti? e Usare Genie One.
-
Gestione del gruppo clone: il
users-clone-<TIMESTAMP>gruppo è un gruppo locale dell'area di lavoro standard. Gestire l'appartenenza e i diritti come qualsiasi altro gruppo. Vedere Gestisci i gruppi. -
Disattivazione: se si disattiva dopo la migrazione, il gruppo
users-clone-<TIMESTAMP>rimane. È possibile mantenerlo e gestirlo o eliminarlo manualmente. - Coordinamento con i provider di identità: se si usa il provisioning SCIM per sincronizzare utenti e gruppi, coordinare questa modifica con i processi di gestione delle identità in modo che il gruppo clone venga mantenuto. Consulta Sincronizzare utenti e gruppi da Microsoft Entra ID utilizzando SCIM.
Novità successive
Dopo la migrazione di un'area di lavoro, è possibile:
- Gestire l'appartenenza al gruppo per concedere le autorizzazioni di creazione alle entità aggiungendole al gruppo clone. Vedere Gestisci i gruppi.
- Esaminare e modificare i diritti per singole entità o gruppi. Si veda Gestione dei diritti di accesso.
- Altre informazioni sull'esperienza di accesso degli utenti. Vedere Che cos'è l'accesso degli utenti? e Usare Genie One.
- Configurare i controlli di governance dei dati per gli utenti consumer. Vedere Filtri di riga e maschere di colonna.