Migrar o controle de permissões do espaço de trabalho

Migre o controle de direitos do espaço de trabalho para selecionar os direitos de cada principal ao adicioná-lo, em vez de fazer com que os principais herdem permissões automaticamente do grupo de sistema users. Isso fornece controle preciso sobre o acesso ao workspace e permite adicionar usuários apenas consumidores sem conceder permissões de autoria. Isso se tornará o comportamento padrão para todos os workspaces. Você pode migrar mais cedo para testá-lo no seu próprio ritmo.

A migração altera a forma como os grupos do sistema users e admins funcionam e transfere as permissões existentes para um novo grupo, para que os principais preservem o acesso atual. Esta página aborda o novo comportamento, as etapas de migração e as ações de pré-migração necessárias.

Overview

Todo espaço de trabalho tem dois grupos do sistema: users, que inclui todas as identidades com acesso concedido ao espaço de trabalho, e admins, que inclui os administradores do espaço de trabalho. Atualmente, cada entidade adicionada a um espaço de trabalho herda as permissões concedidas a users. Por padrão, esses direitos são:

  • Acesso ao espaço de trabalho: criar e usar notebooks, tarefas, pipelines, aplicativos e muito mais.
  • Acesso ao SQL do Databricks: criar e usar dashboards, Genie Spaces, alertas e muito mais.

Após a alteração:

  • Você seleciona os direitos de cada entidade de segurança ao adicioná-los. Você pode adicionar principais de segurança em qualquer nível de acesso, incluindo usuários apenas consumidores, sem que herdem automaticamente as permissões de autoria.

    Adicione um principal a um espaço de trabalho e selecione cada permissão explicitamente.

  • O grupo users não tem nenhuma permissão, e o grupo admins tem todas as permissões do espaço de trabalho. Nenhum dos dois pode ser alterado.

  • Você não pode aninhar os grupos users e admins como membros de outros grupos.

As entidades de segurança existentes mantêm o nível atual de acesso. Azure Databricks migra automaticamente os direitos concedidos anteriormente para users um novo grupo de clones local do workspace com um nome padrão de users-clone-<TIMESTAMP>, onde <TIMESTAMP> é o momento da migração. Você pode renomear o grupo durante a migração e gerenciá-lo como qualquer outro grupo local de workspace. O grupo admins não exige migração porque recebe automaticamente todos os direitos do espaço de trabalho.

Cronograma

Isso se tornará o comportamento padrão para todos os workspaces. A alteração ocorre em três fases:

  • 15 de junho de 2026 – Aceitação disponível. Migre um espaço de trabalho com antecedência para testar o novo comportamento.
  • 27 de julho de 2026 – Ativado automaticamente para espaços de trabalho que não optaram por aderir nem por não aderir. Você ainda pode cancelar a adesão temporariamente até que isso se torne obrigatório.
  • 14 de setembro de 2026 – Aplicado a todos os espaços de trabalho. A opção de não participar não está mais disponível.

Para obter mais informações, consulte Alteração de comportamento futura: escolha direitos ao adicionar entidades de segurança aos espaços de trabalho.

Antes de começar

Você deve ser um administrador de workspace para migrar um workspace e gerenciar o novo comportamento.

Note

Essa alteração não se aplica a Azure Governamental workspaces. Esses espaços de trabalho não serão migrados.

Execute as seguintes ações antes que o novo comportamento seja habilitado em seu workspace:

  • Automação: Se você gerencia permissões de grupos do sistema por meio do Terraform, das APIs SCIM do Workspace ou de scripts personalizados, atualize seus fluxos de trabalho para direcioná-los a grupos de contas, não a grupos do sistema. Depois que Azure Databricks habilitar o novo comportamento, as tentativas de modificar os direitos do grupo do sistema falharão.
  • Grupos de sistema aninhados: Se users ou admins estiver aninhado como integrante de outro grupo, remova o aninhamento. O novo comportamento não permite o aninhamento.
  • Sincronização do SCIM: se a sincronização do SCIM excluir grupos de workspace que não reconhece, atualize sua configuração para preservar o grupo de clones de migração (users-clone-<TIMESTAMP>). Se a sincronização remover o grupo clone, as identidades migradas para ele perderão suas permissões.

Migrar um espaço de trabalho

Você gerencia esse novo comportamento na configuração Novo comportamento: escolher direitos ao adicionar entidades de segurança aos workspaces nas configurações do seu workspace.

Para migrar um espaço de trabalho para o novo comportamento:

  1. Como administrador do espaço de trabalho, faça login no espaço de trabalho do Azure Databricks.

  2. Clique no nome de usuário na barra superior e selecione Configurações.

  3. Clique na guia Avançado.

  4. Em Controle de acesso, localize Novo comportamento: escolha direitos de acesso ao adicionar entidades de segurança a espaços de trabalho. O status mostra o comportamento herdado (a ação pode ser necessária).

    Configuração de controle de acesso mostrando o espaço de trabalho com o comportamento anterior.

  5. Clique em Gerenciar.

  6. Na caixa de diálogo, revise as concessões de permissões atuais para os grupos users e admins. Em Comportamento para este espaço de trabalho, selecione Usar o novo comportamento.

  7. Em Nome do grupo clone, insira um nome para o grupo que recebe as permissões concedidas a users, ou mantenha o nome padrão. Esse grupo preserva os direitos de suas entidades de segurança existentes.

    Gerencie a caixa de diálogo com o novo comportamento selecionado e o campo de nome do grupo de clones.

  8. Clique em Salvar.

    O Azure Databricks migra as permissões no users para o grupo clonado. As identidades diretamente atribuídas ao espaço de trabalho são adicionadas ao grupo de clonagem para que mantenham seu acesso. Essas entidades de segurança incluem usuários adicionados diretamente e entidades de serviço, além de grupos de contas atribuídos ao workspace.

Após a conclusão da migração, a configuração mostra que o workspace está no novo comportamento.

Configuração de controle de acesso mostrando o espaço de trabalho no novo comportamento.

Verificar as alterações

Depois de concluir a migração, verifique se as alterações foram aplicadas corretamente:

  1. Como administrador do workspace, faça logon no workspace Azure Databricks.
  2. Clique no nome de usuário na barra superior e selecione Configurações.
  3. Clique na guia Identidade e acesso .
  4. Ao lado de Grupos, clique em Gerenciar.
  5. Verifique o seguinte:
    • O grupo de clones existe e tem os direitos que o grupo tinha antes da users migração.
    • O grupo de clones contém as entidades de segurança que foram diretamente adicionadas ao workspace por meio users, incluindo usuários adicionados diretamente, entidades de serviço e todos os grupos de contas atribuídos ao workspace.
    • O grupo users não tem nenhuma permissão, e o grupo admins tem todas as permissões do espaço de trabalho.

Note

O grupo clonado contém apenas membros diretos, portanto pode mostrar menos membros do que o grupo users, que inclui todos os incluídos por meio de associações a grupos de contas. Isso não significa que alguém perdeu o acesso. As entidades que entraram no workspace por meio de um grupo de contas continuam abrangidas porque esse grupo de contas é adicionado ao grupo clonado. Os grupos locais do workspace não são copiados porque não concedem associação ao workspace.

Considerações e práticas recomendadas

Considere o seguinte ao migrar um workspace:

  • Adicionando entidades de segurança após a migração: depois que o novo comportamento for habilitado, selecione as permissões de cada entidade de segurança ao adicioná-las ao espaço de trabalho. Para conceder permissões de criação, selecione acesso ao Workspace ou acesso ao SQL do Databricks. Para adicionar um consumidor com acesso somente para visualização, conceda somente Acesso de consumidor. Para obter mais informações, consulte o que é o acesso do consumidor? e use o Genie One.
  • Gerenciando o grupo de clonagem: O users-clone-<TIMESTAMP> grupo é um grupo padrão local do espaço de trabalho. Gerencie sua associação e direitos como qualquer outro grupo. Confira Gerenciar grupos.
  • Cancelar participação: se você cancelar a participação após a migração, o grupo users-clone-<TIMESTAMP> permanecerá. Você pode mantê-lo e gerenciá-lo ou excluí-lo manualmente.
  • Coordenação com provedores de identidade: se você usar o provisionamento scim para sincronizar usuários e grupos, coordene essa alteração com os processos de gerenciamento de identidade para que o grupo de clones seja preservado. Consulte Sincronizar usuários e grupos do Microsoft Entra ID usando SCIM.

O que vem a seguir

Depois de migrar um espaço de trabalho, talvez você queira:

  • Last updated on