管理使用者

本文說明如何新增、更新和移除 Azure Databricks 使用者。

如需 Azure Databricks 身分識別模型的概觀，請參閱 Azure Databricks 身分識別。

若要管理使用者的存取權，請參閱驗證和存取控制。

使用者管理概觀

若要管理 Azure Databricks 中的使用者，您必須是帳戶管理員或工作區管理員。

• 帳戶管理員可以將使用者新增至帳戶，並指派系統管理員角色。 他們也可以將使用者指派給工作區，並為其設定跨工作區的資料存取權，只要這些工作區使用識別身分同盟。

• 工作區管理員可以將使用者新增至 Azure Databricks 工作區、指派工作區系統管理員角色，以及管理工作區中物件和功能的存取權，例如建立叢集或存取指定角色型環境的能力。 將使用者新增至 Azure Databricks 工作區也會將它們新增至帳戶。

  工作區管理員是工作區中 admins群組的成員，這是無法刪除的保留群組。

  具有 Azure 內建擁有者或貢獻者角色的使用者，或具有 必要 Azure 系統管理員權限的自訂角色， 在 Azure 入口網站中按一下 [啟動工作區] 時，會自動被指派為工作區管理員角色。 如需詳細資訊，請參閱何謂工作區管理員？。

從 Microsoft Entra ID 租用戶將使用者同步至您的 Azure Databricks 帳戶

您可以將使用者從 Microsoft Entra ID 租用戶自動同步至 Azure Databricks 帳戶，或使用 SCIM 布建連接器進行同步。

自動身分識別管理（公開預覽） 可讓您將使用者、服務主體和群組從 Microsoft Entra ID 新增至 Azure Databricks，而不需在 Microsoft Entra ID 中設定應用程式。 Databricks 會使用 Microsoft Entra ID 作為記錄來源，因此 Azure Databricks 中會遵守使用者或群組成員資格的任何變更。 如需詳細資訊，請參閱 從 Microsoft Entra ID自動同步使用者和群組。

SCIM 布建 可讓您在 Microsoft Entra 識別碼中設定企業應用程式，讓使用者和群組與 Microsoft Entra ID 保持同步。 如需指示，請參閱 從 Microsoft Entra ID 使用 SCIM同步處理使用者和群組。

在您的帳戶中管理使用者

帳戶管理員可以使用帳戶主控台，將使用者新增至您的 Azure Databricks 帳戶。 Azure Databricks 帳戶中的使用者對工作區、資料或計算資源沒有任何預設存取權。

使用帳戶主控台將使用者新增至您的帳戶

1. 身為帳戶管理員，登入帳戶主機。
2. 在側邊欄中，按一下 [使用者管理]。
3. 在 [使用者] 索引標簽中，按一下 [新增使用者]。
4. 輸入使用者的名稱和電子郵件地址。
5. 按一下 [新增使用者] 。

若要讓使用者存取工作區，您必須將它們新增至工作區。 請參閱在您的工作區中管理使用者。

將帳戶管理員角色指派給使用者

1. 身為帳戶管理員，登入帳戶主機。

2. 在側邊欄中，按一下 [使用者管理]。

3. 尋找並按下使用者名稱。

4. 在 [角色] 索引標籤上，開啟 [帳戶管理員]、[Marketplace 管理員] 或 [帳單管理員]。

使用帳戶主控台將使用者指派給工作區

若要使用帳戶主控台將使用者新增至工作區，必須啟用識別身分同盟的工作區。 工作區管理員也可以使用工作區管理員設定頁面，將使用者指派給工作區。 請參閱使用工作區管理員設定頁面將使用者指派給工作區。

1. 身為帳戶管理員，登入帳戶主機。
2. 在側邊欄中，按一下 [工作區]。
3. 按一下工作區的名稱。
4. 在 [權限] 索引標籤中，按一下 [新增權限]。
5. 搜尋並選取使用者、指派許可權等級（工作區 使用者 或 系統管理員），然後按兩下 [儲存]。

使用帳戶主控台從工作區移除使用者

若要使用帳戶主控台從工作區移除使用者，您必須啟用身分識別同盟的工作區。 從工作區移除使用者時，使用者就無法再存取工作區，不過會維護使用者的權限。 如果使用者稍後新增回工作區，則它們會重新取得其先前的權限。

1. 以帳戶管理員身分登入帳戶主控台
2. 在側邊欄中，按一下 [工作區]。
3. 按一下工作區的名稱。
4. 在 [權限] 索引標籤中，尋找使用者。
5. 單擊用戶列最右邊的 ，然後選取 移除。
6. 在確認對話框中，按 [移除]。

停用 Azure Databricks 帳戶中的使用者

帳戶管理員可以停用 Azure Databricks 帳戶中的使用者。 已停用的使用者無法登入 Azure Databricks 帳戶或工作區。 不過，所有使用者的權限和工作區物件都保持不變。 停用使用者時，會發生以下情況：

• 使用者無法透過任何方法登入帳戶或其任何工作區。
• 利用使用者所產生權杖的應用程式或指令碼將無法再存取 Databricks API。 會保留權杖，但在停用使用者時無法用來進行驗證。
• 使用者擁有的筆記本維持不變。
• 使用者擁有的叢集會繼續執行。
• 使用者所建立的排程工作必須指派給新的擁有者，以防止它們失敗。

重新啟用使用者時，可以使用相同的權限登入 Azure Databricks。 Databricks 建議從帳戶中停用使用者，而不是移除它們，因為移除使用者是破壞性動作。 停用的使用者狀態會在帳戶主控台中標示為 [閒置中]。 也可以從特定工作區停用使用者。 請參閱在 Azure Databricks 工作區中停用使用者。

您無法使用帳戶主控台停用使用者。 請改用帳戶使用者 API。 例如：

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json：

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

從 Azure Databricks 帳戶移除使用者

帳戶管理員可以從 Azure Databricks 帳戶中刪除使用者。 工作區管理員不可。 當您從帳戶中刪除使用者時，也會從其工作區中移除該使用者。

從帳戶中移除使用者時，使用者就無法再存取帳戶或其工作區，不過會維護使用者的權限。 如果使用者稍後新增回帳戶，則它們會重新取得其先前的權限。

若要使用帳戶主控台移除使用者，請執行下列動作：

1. 身為帳戶管理員，登入帳戶主機。
2. 在側邊欄中，按一下 [使用者管理]。
3. 尋找並按下使用者名稱。
4. 在 [使用者資訊] 索引標籤上，按下右上角 ，然後選取 [刪除]。
5. 在確認對話方塊中，按一下 [確認刪除]。

如果您使用帳戶主控台移除使用者，您必須確定您也使用已為帳戶設定的任何 SCIM 布建連接器或 SCIM API 應用程式來移除使用者。 如果未這麼做，SCIM 佈建會在下次同步時將使用者新增回來。 請參閱 使用 SCIM 從 Microsoft Entra ID 同步使用者和群組。

若要使用 SCIM API 從 Azure Databricks 帳戶中移除使用者，您必須是帳戶管理員。請參閱 將使用者和群組同步至 Azure Databricks 帳戶 和 帳戶群組 API。

在您的工作區中管理使用者

工作區管理員可以使用工作區管理員設定頁面來新增及管理使用者。

使用工作區管理員設定頁面將使用者指派給工作區

若要使用工作區管理員設定頁面將使用者新增至工作區，請執行下列操作：

1. 身為工作區管理員，登入 Azure Databricks 工作區。

2. 按下 Azure Databricks 工作區頂端列中的使用者名稱，然後選取 [設定]。

3. 按一下 [身分識別與存取] 索引標籤。

4. 按一下 [使用者] 旁邊的 [管理]。

5. 按一下 [新增使用者] 。

6. 選取一位現有的使用者來指派到工作區，或按一下 新增 來建立新的使用者。

   您可以新增任何屬於 Azure Databricks 工作區的 Microsoft Entra ID 租用戶的使用者。 將新使用者新增至工作區，也會將使用者新增至 Azure Databricks 帳戶。

7. 按一下新增。

使用工作區管理員設定頁面將工作區管理員角色指派給使用者

若要使用工作區管理員設定頁面來指派工作區管理員角色，請執行下列操作：

1. 身為工作區管理員，登入 Azure Databricks 工作區。
2. 按下 Azure Databricks 工作區頂端列中的使用者名稱，然後選取 [設定]。
3. 按一下 [身分識別與存取] 索引標籤。
4. 按一下 [使用者] 旁邊的 [管理]。
5. 選取使用者。
6. 按一下 [權利] 索引標籤。
7. 按一下 [管理員存取權] 旁邊的切換開關。

若要從工作區用戶移除工作區管理員角色，請執行相同的步驟，但關閉 管理員存取權 開關。

在 Azure Databricks 工作區中停用使用者

工作區管理員可以在 Azure Databricks 工作區中停用使用者。 停用的使用者無法從 Azure Databricks API 中登入工作區或進行存取，不過使用者的所有權限和工作區物件都保持不變。 停用使用者時：

• 使用者無法透過任何方法登入工作區。
• 使用者的狀態在工作區管理員設定頁面中顯示為閒置中。
• 利用使用者所產生權杖的應用程式或指令碼將無法再存取 Databricks API。 會保留權杖，但在停用使用者時無法用來進行驗證。
• 使用者擁有的筆記本維持不變。
• 使用者擁有的叢集會繼續執行。
• 使用者所建立的排程工作必須指派給新的擁有者，以防止它們失敗。

重新啟用使用者時，可以使用相同的權限登入工作區。 Databricks 建議停用使用者，而不是移除它們，因為移除使用者是破壞性動作。 您無法使用工作區管理員設定頁面來停用使用者。 請改用工作區使用者 API。 例如：

curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json：

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

使用工作區系統管理員設定頁面從工作區移除使用者

從工作區移除使用者時，使用者就無法再存取工作區，不過會維護使用者的權限。 如果使用者稍後新增回工作區，則它們會重新取得其先前的權限。

1. 身為工作區管理員，登入 Azure Databricks 工作區。
2. 按下 Azure Databricks 工作區頂端列中的使用者名稱，然後選取 [設定]。
3. 按一下 [身分識別與存取] 索引標籤。
4. 按一下 [使用者] 旁邊的 [管理]。
5. 尋找使用者和 Kebab 功能表 用戶數據列最右邊的 kebab 功能表，然後選取 [移除]。
6. 按一下 [刪除] 以確認。

使用 API 管理使用者

帳戶管理員和工作區管理員可以使用 Databricks API 來管理 Azure Databricks 帳戶和工作區中的使用者。

使用 API 管理帳戶中的使用者

管理員可以使用帳戶使用者 API，在 Azure Databricks 帳戶中新增及管理使用者。 帳戶管理員和工作區管理員可使用不同的端點 URL 來叫用 API：

• 帳戶管理員使用 {account-domain}/api/2.1/accounts/{account_id}/scim/v2/。
• 工作區管理員使用 {workspace-domain}/api/2.0/account/scim/v2/。

如需詳細資訊，請參閱帳戶使用者 API。

使用 API 管理工作區中的使用者

帳戶和工作區管理員可以使用工作區指派 API，將使用者指派給為識別身分同盟而啟用的工作區。 透過 Azure Databricks 帳戶和工作區，支援工作區指派 API。

• 帳戶管理員使用 {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments。
• 工作區管理員使用 {workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}。

請參閱工作區指派 API。

如果沒有為識別身分同盟啟用工作區，工作區管理員可以使用工作區層級 API 將使用者指派給其工作區。 請參閱工作區使用者 API。