Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Esta página fornece uma visão geral dos grupos no Azure Databricks. Para saber como gerenciar grupos, consulte Gerenciar grupos.
Os grupos simplificam o gerenciamento de identidades, facilitando a atribuição de acesso a workspaces, dados e outros objetos protegíveis. Todas as identidades do Databricks podem ser atribuídas como membros de grupos.
Observação
Esta página pressupõe que seu workspace tenha a federação de identidade habilitada, que é o padrão para a maioria dos workspaces. Para obter informações sobre workspaces herdados sem federação de identidade, consulte workspaces herdados sem federação de identidade.
Fontes de grupo
Os grupos do Azure Databricks são classificados em quatro categorias com base em sua origem, que é mostrada na coluna Origem da lista de grupos
| Fonte | Descrição |
|---|---|
| Conta | Pode ser concedido acesso a dados em um metastore do Catálogo do Unity, funções atribuídas a principais de serviço e grupos, além de permissões para espaços de trabalho e para objetos dentro dos espaços de trabalho. Os membros herdam permissões de objetos do workspace de todos os grupos de contas dos quais são membros, independentemente de o grupo estar atribuído ao workspace. Esses são os principais grupos para gerenciar o acesso na conta do Azure Databricks. |
| Externo | Criado no Azure Databricks a partir do seu provedor de identidade. Esses grupos permanecem sincronizados com o IdP (como a ID do Microsoft Entra). Grupos externos também são considerados grupos de contas. |
| Sistema | Criado e mantido pelo Azure Databricks. Cada conta inclui um account users grupo que contém todos os usuários e entidades de serviço. Cada workspace tem dois grupos de sistema: users (todos os usuários com acesso ao workspace) e admins (administradores do workspace). Os grupos do sistema não podem ser excluídos ou ter suas concessões de direitos modificadas. |
| Área de trabalho | Conhecidos como grupos locais de workspace, esses são grupos herdados que são usados apenas dentro do workspace no qual foram criados. Não podem ser atribuídos a outros espaços de trabalho, receber acesso a dados do Catálogo do Unity ou funções no nível da conta. O Databricks recomenda converter grupos locais de workspace em grupos de contas para uma funcionalidade mais ampla. |
Observação
A partir de 15 de junho de 2026, o Databricks passará a adotar um novo comportamento no qual os direitos do workspace são concedidos explicitamente quando identidades são adicionadas a um workspace, e os grupos de sistema do workspace (users e admins) não carregam mais direitos atribuíveis. O users grupo não terá direitos e o admins grupo terá todos os direitos de workspace. Os direitos de ambos os grupos estão bloqueados. As permissões existentes em users são migradas automaticamente para um grupo de clones local ao workspace, para que as identidades mantenham seu acesso. O novo comportamento é habilitado automaticamente em 27 de julho de 2026 para espaços de trabalho que não tiverem optado por aderir ou não, e aplicado a todos os espaços de trabalho em 14 de setembro de 2026. Para obter mais informações, consulte Alteração de comportamento futura: escolha direitos ao adicionar entidades de segurança aos espaços de trabalho.
Quando o gerenciamento automático de identidade está habilitado, os grupos do provedor de identidade ficam visíveis no console da conta e na página de configurações de administrador do workspace. O status deles reflete a atividade e o estado deles entre seu provedor de identidade e o Azure Databricks. Consulte os status de usuário e grupo.
Quem pode gerenciar grupos?
Para criar grupos no Azure Databricks, você deve ser:
- Um administrador de conta
- Um administrador do workspace
Para gerenciar grupos no Azure Databricks, você deve ter a função de gerente de grupo (Visualização Pública) em um grupo. Essa função permite que você:
- Gerenciar associação ao grupo
- Excluir grupos
- Atribuir a função de gerente de grupo a outros usuários
Por padrão:
- Os administradores de conta têm automaticamente a função de gerente de grupo para todos os grupos.
- Os administradores do workspace têm automaticamente a função de gerente de grupo em grupos que eles criam.
As funções do gerenciador de grupo podem ser configuradas por:
- Administradores de conta, usando o console da conta
- Administradores de espaço de trabalho, usando a página de configurações de administração do espaço de trabalho
- Gerentes de grupo não administradores, usando a API de Controle de Acesso de Contas
Os administradores do workspace também podem criar e gerenciar grupos locais de workspace herdados.
Sincronize grupos na sua conta do Azure Databricks a partir do Microsoft Entra ID
O Databricks recomenda sincronizar grupos do Microsoft Entra ID na sua conta do Azure Databricks.
Você pode sincronizar grupos do Microsoft Entra ID automaticamente ou usando um conector de provisionamento SCIM.
O gerenciamento automático de identidade permite adicionar usuários, entidades de serviço e grupos da ID do Microsoft Entra ao Azure Databricks sem configurar um aplicativo na ID do Microsoft Entra. O Databricks usa a ID do Microsoft Entra como fonte de registro, portanto, todas as alterações nos usuários ou associações de grupo são respeitadas no Azure Databricks. O gerenciamento automático de identidade dá suporte a grupos aninhados. O gerenciamento automático de identidade é habilitado por padrão para contas criadas após 1º de agosto de 2025. Para obter detalhes, consulte Gerenciamento automático de identidade.
O provisionamento SCIM permite configurar um aplicativo empresarial no Microsoft Entra ID para manter usuários e grupos sincronizados com o Microsoft Entra ID. O provisionamento do SCIM não dá suporte a grupos aninhados. Para obter instruções, consulte Sincronizar usuários e grupos da ID do Microsoft Entra usando SCIM.