グループ
このページでは、Databricks のグループの概要について説明します。グループを管理する方法については、「 グループの管理」を参照してください。
グループは、ワークスペース、データ、およびその他のセキュリティ保護可能なオブジェクトへのアクセスの割り当てを容易にすることで、アイデンティティ管理を簡素化します。すべてのDatabricks アイデンティティをグループのメンバーとして割り当てることができます。
このページでは、ワークスペースで ID フェデレーションが有効になっていることを前提としています。これは、ほとんどのワークスペースにとって確実です。 ID フェデレーションのないレガシー ワークスペースについては、 「ID フェデレーションのないレガシー ワークスペース」を参照してください。
グループソース
Databricks グループは、グループリストの ソース 列に表示されるソースに基づいて 4 つのカテゴリに分類されます
ソース | 説明 |
|---|---|
アカウント | Unity Catalogメタストア内のデータへのアクセス、サービス プリンシパルとグループでの割り当てられたロール、ワークスペースへのアクセス許可、およびワークスペース オブジェクトへのアクセス許可を付与できます。 メンバーは、グループがワークスペースに割り当てられているかどうかに関係なく、メンバーであるすべてのアカウント グループからワークスペース オブジェクトの権限を継承します。 これらは、 Databricksアカウント全体のアクセスを管理するためのプライマリ グループです。 |
外部 | ID プロバイダーから Databricks で作成されます。これらのグループは、IdP (Microsoft Entra ID など) と同期されたままです。外部グループもアカウントグループと見なされます。 |
システム | Databricksによって作成および管理されています。各アカウントには、すべてのユーザーとサービスプリンシパルを含む |
ワークスペース | ワークスペース ローカル グループと呼ばれるこれらは、作成されたワークスペース内でのみ使用される従来のグループです。他のワークスペースに割り当てたり、Unity Catalog データへのアクセスを許可したり、アカウント レベルのロールを割り当てたりすることはできません。Databricks では、より広範な機能を実現するために、ワークスペース ローカル グループをアカウント グループに変換することをお勧めします。 |
2026年6月15日より、Databricksは新しい動作を展開します。この動作では、プリンシパルをワークスペースに追加する際にワークスペースの資格が明示的に付与され、ワークスペースシステムグループ( およびusers admins)は割り当て可能な資格を持たなくなります。usersグループには権限がなく、adminsグループにはすべてのワークスペースの権限があります。両方のグループの資格はロックされています。users の既存の資格は、ワークスペースローカルクローングループに自動的に移行され、プリンシパルがアクセスを保持できます。新しい動作は、オプトインまたはオプトアウトしていない ワークスペース に対して 2026年7月27日 に自動有効化され、すべてのワークスペースに対して2026年9月14日に適用されます。詳細については、「今後の動作変更:ワークスペースにプリンシパルを追加する際に資格を選択」をご覧ください。
自動ID管理が有効になっている場合、IDプロバイダーのグループがアカウントコンソールとワークスペース管理者設定ページに表示されます。それらのステータスは、お客様のIDプロバイダーとDatabricks間の活動状況と状態を反映しています。ユーザーとグループのステータスを参照してください。
グループを管理できるのは誰ですか?
Databricks でグループを作成するには、次のいずれかである必要があります。
- アカウント管理者
- ワークスペース管理者
Databricksでグループを管理するには、グループに対する グループ マネージャー ロール (パブリック プレビュー) が必要です。このロールでは、次のことができます。
- グループメンバーシップの管理
- グループの削除
- 他のユーザーへのグループマネージャーの役割の割り当て
デフォルトでは、
- アカウント admin には、すべてのグループに対してグループマネージャーの役割が自動的に付与されます。
- ワークスペース 管理者には、作成したグループに対するグループ マネージャー ロールが自動的に付与されます。
グループマネージャーの役割は、次の方法で構成できます。
- アカウント admins, アカウントコンソールの使用
- ワークスペース 管理者、ワークスペース管理者設定ページを使用
- 管理者以外のグループマネージャー、アカウント アクセス制御 API
ワークスペース管理者は、従来の ワークスペース-ローカル グループを作成および管理することもできます。
ID プロバイダーから Databricks アカウントにグループを同期する
自動 ID 管理またはSCIMプロビジョニング コネクタを使用して、グループを ID プロバイダー (IdP) からDatabricksアカウントに同期できます。
自動ID管理 (パブリックプレビュー)を使用すると、IDプロバイダーからユーザー、サービスプリンシパル、およびグループをDatabricksに追加できます。DatabricksはIDプロバイダーを記録のソースとして使用するため、ユーザーやグループメンバーシップへの変更はDatabricksにも反映されます。自動ID管理はネストされたグループをサポートします。詳細については、 「自動ID管理」を参照してください。
SCIMプロビジョニングを 使用すると、グループを ID プロバイダーからDatabricksアカウントに同期できます。 SCIMのプロビジョニングでは、ネストされたグループはサポートされていません。手順については、 「ユーザーとグループをDatabricksアカウントに同期する」を参照してください。
