Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette page fournit une vue d’ensemble des groupes dans Azure Databricks. Pour savoir comment gérer des groupes, consultez Gérer les groupes.
Les groupes simplifient la gestion des identités, en facilitant l’octroi d’accès à des espaces de travail, des données et d’autres objets sécurisables. Toutes les identités Databricks peuvent être attribuées en tant que membres de groupes.
Note
Cette page suppose que la fédération d’identité de votre espace de travail est activée, qui est la valeur par défaut pour la plupart des espaces de travail. Pour plus d’informations sur les espaces de travail hérités sans fédération d’identité, consultez Espaces de travail hérités sans fédération d’identité.
Sources de groupe
Les groupes Azure Databricks sont classés en quatre catégories en fonction de leur source, qui est affichée dans la colonne Source de la liste des groupes
| Origine | Descriptif |
|---|---|
| Compte | Vous pouvez accorder l’accès aux données dans un metastore Du catalogue Unity, attribuer des rôles sur des principaux de service et des groupes, ainsi que des autorisations sur des espaces de travail et des autorisations sur les objets de l’espace de travail. Les membres héritent des autorisations d’objet d’espace de travail de tous les groupes de comptes dont ils sont membres, indépendamment du fait que le groupe soit affecté à l’espace de travail. Il s’agit des groupes principaux permettant de gérer l’accès sur le compte Azure Databricks. |
| Externe | Créé dans Azure Databricks à partir de votre fournisseur d’identité. Ces groupes restent synchronisés avec votre fournisseur d’identité (par exemple Microsoft Entra ID). Les groupes externes sont également considérés comme des groupes de comptes. |
| Système | Créé et géré par Azure Databricks. Chaque compte inclut un groupe account users qui contient tous les utilisateurs et principaux de services. Chaque espace de travail a deux groupes système : users (tous les utilisateurs ayant accès à l’espace de travail) et admins (administrateurs de l’espace de travail). Les groupes système ne peuvent pas être supprimés ou leurs allocations de droits d’utilisation ne peuvent pas être modifiées. |
| Espace de travail | Appelés groupes locaux d’espace de travail, il s’agit de groupes hérités utilisés uniquement dans l’espace de travail dans lequel ils ont été créés. Ils ne peuvent pas être attribués à d'autres espaces de travail, ni se voir accorder l'accès aux données du catalogue Unity, ni être affectés à des rôles au niveau du compte. Databricks recommande de convertir des groupes locaux d’espace de travail en groupes de comptes pour des fonctionnalités plus larges. |
Note
Dans une prochaine version, les groupes de systèmes d’espace de travail (users et admins) auront des allocations fixes de droits qui ne peuvent pas être modifiées. Le users groupe n’aura aucun droit et le admins groupe aura tous les droits d’espace de travail. Les droits existants sur le users groupe sont automatiquement migrés vers un groupe cloné, de sorte que les utilisateurs actuels conservent leur accès. Pour plus d’informations, consultez Les groupes de systèmes d’espace de travail auront bientôt des allocations de droits fixes.
Lorsque la gestion automatique des identités est activée, les groupes de l’ID Microsoft Entra sont visibles dans la console de compte et dans la page des paramètres d’administration de l’espace de travail. Leur état reflète leur activité et leur état entre l’ID Microsoft Entra et Azure Databricks. Consultez les états des utilisateurs et des groupes.
Qui peut gérer des groupes ?
Pour créer des groupes dans Azure Databricks, vous devez être :
- Administrateur de compte
- Un administrateur d’espace de travail
Pour gérer des groupes dans Azure Databricks, vous devez avoir le rôle gestionnaire de groupes (préversion publique) sur un groupe. Ce rôle vous permet de :
- Gérer l’appartenance au groupe
- Supprimer des groupes
- Attribuer le rôle de gestionnaire de groupe à d’autres utilisateurs
Par défaut :
- Les administrateurs de compte ont automatiquement le rôle de gestionnaire de groupe pour tous les groupes.
- Les administrateurs d’espace de travail ont automatiquement le rôle gestionnaire de groupe sur les groupes qu’ils créent.
Les rôles de gestionnaire de groupes peuvent être configurés par :
- Administrateurs de compte, à l’aide de la console de compte
- Administrateurs d’espace de travail, à l’aide de la page des paramètres d’administration de l’espace de travail
- Gestionnaires de groupes non administrateurs, à l’aide de l’API Contrôle d’accès aux comptes
Les administrateurs d’espace de travail peuvent également créer et gérer des groupes locaux d’espace de travail hérités.
Synchroniser des groupes avec votre compte Azure Databricks à partir de l’ID Microsoft Entra
Databricks recommande de synchroniser des groupes de Microsoft Entra ID avec votre compte Azure Databricks.
Vous pouvez synchroniser automatiquement des groupes à partir de votre ID Microsoft Entra ou à l’aide d’un connecteur d’approvisionnement SCIM.
La gestion automatique des identités vous permet d’ajouter des utilisateurs, des principaux de service et des groupes de Microsoft Entra ID dans Azure Databricks sans configurer une application dans l’ID Microsoft Entra. Databricks utilise l’ID Microsoft Entra comme source d’enregistrement. Les modifications apportées aux utilisateurs ou aux appartenances aux groupes sont donc respectées dans Azure Databricks. La gestion automatique des identités prend en charge les groupes imbriqués. La gestion automatique des identités est activée par défaut pour les comptes créés après le 1er août 2025. Pour plus d’informations, consultez Synchroniser automatiquement les utilisateurs et les groupes à partir de l’ID Microsoft Entra.
L’approvisionnement SCIM vous permet de configurer une application d’entreprise dans Microsoft Entra ID pour maintenir les utilisateurs et les groupes synchronisés avec l’ID Microsoft Entra. L’approvisionnement SCIM ne prend pas en charge les groupes imbriqués. Pour obtenir des instructions, consultez Synchroniser les utilisateurs et les groupes de Microsoft Entra ID à l’aide de SCIM.