Besturingselement voor werkruimterechten migreren

Migreer het rechtenbeheer voor werkruimten om de rechten van elke principal te selecteren wanneer u ze toevoegt, in plaats van dat principals machtigingen automatisch overnemen van de users systeemgroep. Dit geeft u nauwkeurige controle over toegang tot werkruimten en kunt u gebruikers toevoegen die alleen voor consumenten zijn, zonder machtigingen voor het ontwerpen te verlenen. Dit wordt het standaardgedrag voor alle werkruimten. U kunt vroeg migreren om deze te testen volgens uw eigen planning.

De migratie verandert hoe de users en admins systeemgroepen werken en verplaatst bestaande rechten naar een nieuwe groep, zodat principals hun huidige toegang behouden. Op deze pagina worden het nieuwe gedrag, de migratiestappen en de vereiste voorbereidende acties beschreven.

Overview

Elke werkruimte heeft twee systeemgroepen: users, waaronder alle principals die toegang tot de werkruimte hebben verleend, en admins, waaronder de werkruimtebeheerders. Momenteel erft elke principal die aan een werkruimte wordt toegevoegd de machtigingen die aan users zijn verleend. Deze rechten zijn standaard:

  • Toegang tot de werkruimte: Notebooks, jobs, pijplijnen, apps en meer maken en gebruiken.
  • Databricks SQL-toegang: dashboards, Genie Spaces, waarschuwingen en meer maken en gebruiken.

Na de wijziging:

  • U selecteert de rechten van elke principal wanneer u ze toevoegt. U kunt identiteiten toevoegen op elk toegangsniveau, inclusief gebruikers met uitsluitend consumententoegang, zonder dat deze automatisch bewerkingsmachtigingen erven.

    Voeg een principal toe aan een werkruimte en selecteer elk recht expliciet.

  • De users groep heeft geen rechten en de admins groep heeft alle werkruimterechten. Geen van beide kan worden gewijzigd.

  • U kunt de groepen users en admins niet als leden van andere groepen nesten.

Bestaande principals behouden hun huidige toegangsniveau. Azure Databricks migreert automatisch de rechten die eerder zijn verleend aan users een nieuwe, werkruimte-lokale kloongroep met een standaardnaam vanusers-clone-<TIMESTAMP>, waar <TIMESTAMP> het tijdstip van de migratie is. U kunt de naam van de groep wijzigen tijdens de migratie en deze beheren zoals elke andere werkruimte-lokale groep. Voor de admins groep is geen migratie vereist, omdat aan deze groep automatisch alle werkruimterechten worden verleend.

Tijdlijn

Dit wordt het standaardgedrag voor alle werkruimten. De wijziging vindt plaats in drie fasen:

  • 15 juni 2026 – Opt-in beschikbaar. Migreer een werkruimte vroeg om het nieuwe gedrag te testen.
  • 27 juli 2026 – Automatisch ingeschakeld voor workspaces die zich niet hebben aangemeld of afgemeld. U kunt zich nog steeds tijdelijk afmelden totdat dit wordt afgedwongen.
  • 14 september 2026 – Van kracht voor alle werkruimtes. Afmelden is niet meer beschikbaar.

Zie Aanstaande gedragswijziging voor meer informatie: Kies rechten bij het toevoegen van principals aan werkruimten.

Voordat u begint

U moet een werkruimtebeheerder zijn om een werkruimte te migreren en het nieuwe gedrag te beheren.

Note

Deze wijziging is niet van toepassing op Azure Government werkruimten. Deze werkruimten worden niet gemigreerd.

Voer de volgende acties uit voordat het nieuwe gedrag wordt ingeschakeld in uw werkruimte:

  • Automatisering: Als u systeemgroeprechten beheert via Terraform, SCIM-API's voor werkruimten of aangepaste scripts, werkt u uw werkstromen bij naar doelaccountgroepen, niet naar systeemgroepen. Nadat Azure Databricks het nieuwe gedrag hebt ingeschakeld, mislukken pogingen om de rechten van systeemgroepen te wijzigen.
  • Geneste systeemgroepen: Als users of admins is genest als lid van een andere groep, verwijdert u het nesten. Het nieuwe gedrag staat geneste structuren niet toe.
  • SCIM-synchronisatie: als uw SCIM-synchronisatie werkruimtegroepen verwijdert die niet worden herkend, werkt u de configuratie bij om de kloongroep (users-clone-<TIMESTAMP>) van de migratie te behouden. Als de synchronisatie de kloongroep verwijdert, verliezen principals die ernaar zijn gemigreerd hun rechten.

Een werkruimte migreren

U beheert het nieuwe gedrag via de instelling Nieuw gedrag: kies rechten wanneer u principals aan werkruimten toevoegt in uw werkruimte-instellingen.

Een werkruimte migreren naar het nieuwe gedrag:

  1. Meld u als werkruimtebeheerder aan bij de Azure Databricks-werkruimte.

  2. Klik op uw gebruikersnaam in de bovenste balk en selecteer Instellingen.

  3. Klik op het tabblad Geavanceerd.

  4. Ga onder Toegangsbeheer naar Nieuw gedrag: Kies rechten bij het toevoegen van principals aan werkruimten. De status toont verouderd gedrag (mogelijk is actie nodig).

    Instelling voor toegangsbeheer die de werkruimte volgens het vorige gedrag weergeeft.

  5. Klik op Beheren.

  6. Bekijk in het dialoogvenster de huidige rechtentoelagen voor de users en admins groepen. In Gedrag voor deze werkruimte selecteert u Nieuw gedrag gebruiken.

  7. Voer in De naam van de kloongroep een naam in voor de groep die de rechten ontvangt die zijn verleend aan usersof behoud de standaardwaarde. Deze groep behoudt de rechten van uw bestaande principals.

    dialoogvenster Beheren waarbij het nieuwe gedrag is geselecteerd en het veld voor de naam van de kloongroep.

  8. Klik op Opslaan.

    Azure Databricks migreert de rechten op users naar de kloongroep. De principals die rechtstreeks aan de werkruimte zijn toegewezen, worden toegevoegd aan de kloongroep, zodat ze hun toegang behouden. Deze principals omvatten rechtstreeks toegevoegde gebruikers en service-principals, plus accountgroepen die zijn toegewezen aan de werkruimte.

Nadat de migratie is voltooid, ziet u dat de werkruimte zich in het nieuwe gedrag bevindt.

Instelling voor toegangsbeheer die aangeeft dat de werkruimte het nieuwe gedrag gebruikt.

De wijzigingen controleren

Nadat u de migratie hebt voltooid, controleert u of de wijzigingen correct zijn toegepast:

  1. Meld u als werkruimtebeheerder aan bij de Azure Databricks werkruimte.
  2. Klik op uw gebruikersnaam in de bovenste balk en selecteer Instellingen.
  3. Klik op het tabblad Identiteit en toegang .
  4. Klik naast Groepen op Beheren.
  5. Controleer het volgende:
    • De kloongroep bestaat en heeft de rechten die de groep vóór de users migratie had.
    • De kloongroep bevat de identiteiten die via usersrechtstreeks aan de werkruimte zijn toegevoegd, waaronder rechtstreeks toegevoegde gebruikers, service-principals en accountgroepen die aan de werkruimte zijn toegewezen.
    • De users groep heeft geen rechten en de admins groep heeft alle werkruimterechten.

Note

De kloongroep bevat alleen directe leden, dus er kunnen minder leden worden weergegeven dan de users groep, waaronder iedereen die is toegevoegd via accountgroepslidmaatschappen. Dit betekent niet dat iemand toegang heeft verloren. Principals die lid zijn geworden van de werkruimte via een accountgroep, blijven gedekt omdat die accountgroep wordt toegevoegd aan de kloongroep. Werkruimte-lokale groepen worden niet gekopieerd omdat ze geen lidmaatschap van de werkruimte verlenen.

Overwegingen en beste praktijken

Houd rekening met het volgende wanneer u een werkruimte migreert:

  • Principals toevoegen na de migratie: Nadat het nieuwe gedrag is ingeschakeld, selecteert u de rechten van elke principal wanneer u ze aan de werkruimte toevoegt. Als u machtigingen voor het maken van inhoud wilt verlenen, kiest u Toegang tot werkruimte of Toegang tot Databricks SQL. Als u een consument met alleen-leestoegang wilt toevoegen, verleent u uitsluitend Consumenttoegang. Zie Wat is toegang tot consumenten? en Gebruik Genie One voor meer informatie.
  • De kloongroep beheren: De users-clone-<TIMESTAMP>-groep is een standaard werkruimtelokale groep. Beheer het lidmaatschap en de rechten zoals elke andere groep. Zie Groepen beheren.
  • Afmelden: Als u zich afmeldt na de migratie, blijft de users-clone-<TIMESTAMP> groep behouden. U kunt het bewaren en beheren of handmatig verwijderen.
  • Coördinatie met id-providers: als u SCIM-inrichting gebruikt om gebruikers en groepen te synchroniseren, coördineert u deze wijziging met uw identiteitsbeheerprocessen, zodat de kloongroep behouden blijft. Zie Gebruikers en groepen synchroniseren vanuit Microsoft Entra ID met behulp van SCIM.

Wat is de volgende stap?

Nadat u een werkruimte hebt gemigreerd, kunt u het volgende doen: