Microsoft Entra ID による自動 ID 管理への移行
このページでは、Databricks アカウントを Microsoft Entra ID を使用した自動 ID 管理に移行する方法について説明します。
Microsoft Entra ID を構成するステップについては、「自動 ID 管理用に Microsoft Entra ID を構成する」を参照してください。
自動ID管理の概要については、自動ID管理をご覧ください。
前提条件
自動ID管理を有効にする前に、お使いの環境が以下の要件を満たしていることを確認してください。
必須 | 詳細 | 検証する方法 |
|---|---|---|
Premium または Enterprise ティア | 自動ID管理はStandardアカウントでは利用できません。 | アカウント コンソール > アカウント設定 > サブスクリプション層 |
単一のMicrosoft Entra IDテナント | 自動ID管理はテナント間IDに対応していません。すべてのユーザー、グループ、およびサービスプリンシパルは、単一のMicrosoft Entra IDテナントに属している必要があります。クロステナントIDを持つ環境は、SCIMプロビジョニングを維持する必要があります。 | IDチームにご確認ください。 |
IDフェデレーションは少なくとも1つのワークスペースで有効になっています。 | 自動ID管理には少なくとも1つのIDフェデレーションワークスペースが必要です。非IDフェデレーションワークスペースは機能し続けますが、自動ID管理は使用しません。 | アカウントコンソールで、**ワークスペース**を開き、**IDフェデレーション**バッジを探してください。有効にするには、IDフェデレーションの有効化を参照してください。 |
アカウント管理者ロール | アカウント管理者のみが自動ID管理を有効にできます。 | アカウントコンソール > ユーザー管理 ロールチップには アカウント管理者 と表示されている必要があります。 |
Microsoft Entra ID を使用した自動 ID 管理には、同じテナントを使用して Databricks アカウントに Microsoft Entra ID シングル サインオン (SSO) が構成されていることも必要です。SSO が構成されていない場合、または別のテナントを使用する必要がある場合は、Databricks アカウントチームにお問い合わせください。Microsoft Entra ID を構成するには、「自動 ID 管理用に Microsoft Entra ID を構成する」を参照してください。
役割と責任
ロール | 責任 | 自動ID管理有効化後の動作 |
|---|---|---|
アカウント管理者 | 自動ID管理を有効にします。アカウントレベルのSCIMを設定、一時停止、または無効にします。検証および外部IDの確認を実行します。ワークスペースにグループを割り当てます。アカウント レベルの ID と Unity Catalog のアクセス許可を管理します。ID関連の監査ログを確認します。 | 自動ID管理の有効化、検証、およびロールバックを担当します。必要に応じて、外部ID設定ミス軽減スクリプトを実行します。 |
ワークスペース管理者 | 自動 ID 管理または SCIM を管理しません。ワークスペースにすでに割り当てられているIDを使用して、ワークスペースレベルのACLを管理します。移行後テストを実行し、問題を報告します。 | ワークスペースから直接 Microsoft Entra ID の ID を検索してプロビジョニングできます(**設定** > **IDとアクセス** > **ユーザーの管理**)。自動ID管理を有効または無効にすることはできません。 |
ワークスペースユーザー | サインインし、ノートブックとジョブを実行し、割り当てられたコンピュートを使用します。プロビジョニングされたIDとアセットが共有されます。 | アクティブなセッションに変更はありません。自動ID管理を有効にすると、初回サインイン時にJIT経由でユーザーをプロビジョニングします。権限は、これまでと同様に、同じグループのメンバーシップを通じて適用されます。Microsoft Entra ID の ID とアセットを共有できます。 |
同じままとなるもの
自動ID管理を有効にすると、以下が保持されます:
- SCIM で同期されたグループメンバーシップ : 自動 ID 管理では、元々 SCIM で同期されたグループメンバーシップは削除されません。これは、それらのメンバーシップに依存するジョブと権限が損なわれるのを防ぐための設計です。
- 既存の権限 :ワークスペースとUnity Catalogの権限は、同じプリンシパルに対して引き続き解決されます。
- アクティブなセッション :自動ID管理は、ユーザーのログアウトを強制したり、実行中のセッションを中断したりしません。
- **ジョブの実行**:現在の認証情報で認証されたサービスプリンシパルは、引き続き機能します。
- ワークスペースローカルグループ :自動ID管理は、アカウントレベルのIDのみを管理します。ワークスペースローカルのグループは引き続き機能しますが、Microsoft Entra IDから同期されません。
- Databricks のみサービスプリンシパル : Microsoft Entra ID に登録されていないサービスプリンシパルは影響を受けません。
既存のSCIMプロビジョニングなしに移行する
DatabricksアカウントにアカウントレベルのSCIMプロビジョニングがない場合、このパスを使用してください。これは最もシンプルな移行パスです。
-
表示名でサービスプリンシパルを参照する自動化を監査します。
自動ID管理が有効になっている場合、Databricks は Microsoft Entra ID を信頼できるソースとして扱い、カスタムサービスプリンシパルの表示名を Microsoft Entra ID のもので上書きします。ワークフローの破損を防ぐために、オートメーション (Terraform 構成やスクリプトなど) を、表示名ではなくアプリケーション ID でサービスプリンシパルを参照するように更新してください。
-
自動ID管理を有効化:
「自動 ID 管理のために Microsoft Entra ID を構成する」()の手順に従って、Microsoft Entra ID を構成し、自動 ID 管理を有効にします。これにより、SSOアプリケーションにフェデレーション資格情報を作成し、必要なMicrosoft Graphの読み取り権限を付与し、グループクレームを有効化し、自動ID管理を有効にします。変更が反映されるまで5~10分ほどお待ちください。
-
(オプション)アカウントアクセス拒否リストを構成します。アカウントアクセス拒否リストを使用して、特定のMicrosoft Entra ID IDがDatabricksアカウントにアクセスすることを制限してください。「IDのアカウントへのアクセス拒否」を参照してください。
-
(オプション)ワークスペース管理者に通知ジャストインタイム プロビジョニングを含む想定される動作変更を理解してもらうため、ワークスペース管理者に自動ID管理の概要を共有してください。
自動ID管理を有効化した後、検証ステップを完了してください。
既存のSCIMプロビジョニングから移行する
Databricks アカウントで現在、アカウントレベルの SCIM プロビジョニングを使用している場合は、このパスを使用してください。Databricks では、既存の SCIM プロビジョニングと並行して自動 ID 管理を有効にし、両方を並行して実行することをお勧めします。自動ID管理が正常に動作していることを検証してから、SCIM を無効にすることができます。
自動ID管理を有効にすると、何が変わりますか
挙動 | 自動ID管理の前に | 自動ID管理後 |
|---|---|---|
アイデンティティの起源 | SCIM は、Microsoft Entra ID からユーザー、グループ、およびサービスプリンシパルをスケジュールに従ってアカウント SCIM エンドポイントにプロビジョニングします。 | Databricks は Microsoft Entra ID から Graph API を使用して ID を直接読み取ります。プロビジョニングは、初回使用時またはログイン時にジャストインタイム(JIT)で行われます。 |
グループのメンバーシップ | 直接メンバーのみ。入れ子になったグループは、Microsoft Entra ID 内で、または SCIM スコープルールでフラット化する必要があります。 | 推移的グループメンバーシップは自動的に展開されます。 |
グループメンバーシップ同期遅延 | 次のSCIMサイクル(通常40分)までお待ちください。 | ブラウザサインイン: 最大5分ブラウザ以外(ジョブ、CLI、サービスプリンシパル):最大40分です。 |
サービスプリンシパルのプロビジョニング | サービスプリンシパルはSCIMスコープルールによってプッシュされます。 | サービスプリンシパルは、初回認証時にプロビジョニングされます。SCIMプッシュは必要ありません。 |
Microsoft Entra ID におけるグループの名称変更 | SCIM は次回の同期時に表示名を更新します。 | グループ名は事前に再同期されません。アカウント管理者がアカウントコンソールでグループの詳細ページを開くと、更新がトリガーされます。 |
移行の準備
自動 ID 管理を有効にする前に、Microsoft Entra ID 接続を構成してください。「自動ID管理のためにMicrosoft Entra IDを構成する」 のステップ1から4に従って、フェデレーション資格情報を作成し、必要なMicrosoft Graph読み取り権限を付与し、グループクレームを有効にします。その後、ステップ5で**[接続のテスト]**を実行します。以下の準備ステップを完了するまで、**[AIMを有効にする]**をクリックしないでください。
-
Databricks ナレッジベースから自動ID管理有効化準備スクリプトを実行します。
このスクリプトは、Databricks と Microsoft Entra ID 間で外部 ID の不一致を特定し解決し、どのワークスペースが ID フェデレーションされているかを特定します。
自動ID管理は、IDを同期するための信頼できるリンクとして、Microsoft Entra ID objectId を使用します。プリンシパルの Databricks における externalId が、Microsoft Entra ID の objectId と一致しない場合、自動 ID 管理によって重複するプリンシパルが作成される可能性があります。自動ID管理を有効にする前に、不一致を特定し修正するために探索スクリプトを実行してください。
-
表示名でサービスプリンシパルを参照する自動化を監査します。
自動ID管理が有効になっている場合、Databricks は Microsoft Entra ID を信頼できるソースとして扱い、カスタムサービスプリンシパルの表示名を Microsoft Entra ID のもので上書きします。ワークフローの破損を防ぐために、オートメーション (Terraform 構成やスクリプトなど) を、表示名ではなくアプリケーション ID でサービスプリンシパルを参照するように更新してください。
-
(オプション)アカウントアクセス拒否リストを構成します。「IDのアカウントへのアクセス拒否」を参照してください。
-
(オプション)ワークスペース管理者に通知ジャストインタイム プロビジョニングを含む想定される動作変更を理解してもらうため、ワークスペース管理者に自動ID管理の概要を共有してください。
自動ID管理の有効化
「自動ID管理用のMicrosoft Entra IDを構成する 」で、ステップ5を完了し、**クライアントID**を設定し、**接続テスト**を実行し、**AIMを有効にする**をクリックします。 変更が反映されるまで5~10分ほどお待ちください。
自動 ID 管理と SCIM プロビジョニングは、両方がアクティブな間、並行して実行されます。SCIM は、当初プロビジョニングしたユーザー ID を引き続き管理します。自動 ID 管理を検証後、SCIM を無効化できます。SCIMプロビジョニングを無効にするを参照してください。
自動ID管理を検証する
自動ID管理を有効にした後、IDが正しく同期されていることを確認してください。
ロールによるテスト
各ロールの代表ユーザーが次のテストを実行してください。
アカウント管理者
-
アカウントコンソールからユーザーをプロビジョニングする:
- 「アカウントコンソール」>「ユーザー管理」>「ユーザー」に移動し、「ユーザーを追加」をクリックします。
- Microsoft Entra ID 内で、Databricks にプロビジョニングされていないユーザーを検索します。
- ユーザーを選択して、 [ユーザーの追加] をクリックします。
- Databricks で、ユーザーのステータスが「 アクティブ 」であることを確認してください。
-
アカウントコンソールからグループをプロビジョニングする:
- 「 アカウントコンソール 」>「 ユーザー管理 」>「グループ」に移動して、「グループの追加」をクリックします。
- Databricks でプロビジョニングされていない Microsoft Entra ID のグループを検索してください。
- グループがDatabricksに表示されていることを確認してください。グループメンバーは、ログイン時にジャストインタイムでプロビジョニングされます。
-
ワークスペースのアクセスを確認します:
- 前のステップのグループをワークスペースに割り当てる
- ワークスペースに認証するよう、そのグループのメンバーに依頼してください。
- 認証が成功し、ユーザーがDatabricksでプロビジョニングされ、ワークスペースに追加されていることを確認してください。
ワークスペース管理者
-
ワークスペースからユーザーをプロビジョニングする:
- 設定 > ID とアクセス > ユーザーの管理 に移動して、ユーザーの追加をクリックします。
- Databricks にプロビジョニングされていない Microsoft Entra ID のユーザーを検索します。
- ユーザーのステータスが アクティブ と表示されていることを確認してください。
-
ワークスペースからグループをプロビジョニングする
- クエリやダッシュボードなどのワークスペースアセットを開き、 共有 をクリックします。
- Databricks でプロビジョニングされていない Microsoft Entra ID のグループを検索し、そのグループとアセットを共有します。
- Databricks にグループがプロビジョニングされていることを確認してください。
- そのグループのメンバーにワークスペースに認証してもらい、共有アセットにアクセスできることを確認してください。
監査ログにて自動ID管理を確認してください
system.access.auditテーブルに対してクエリを実行し、自動ID管理が有効であることを確認してください。add、addPrincipalToGroup、createGroup、およびupdateUserのようなイベントのゼロ以外のカウントは、IDが同期されていることを確認します。
SELECT action_name, count(*) AS n
FROM system.access.audit
WHERE request_params.endpoint = 'autoUserCreation'
AND event_time > current_timestamp() - INTERVAL 2 DAYS
GROUP BY action_name
ORDER BY n DESC;
自動 ID 管理監査イベントに関する詳細情報については、自動 ID 管理イベントの監査を参照してください。
自動ID管理を無効にする
自動ID管理を無効にするステップについては、自動ID管理を無効にするを参照してください。
SCIM から移行した後に自動 ID 管理を無効にした場合:
- 自動ID管理によって作成されたIDはDatabricks内に残りますが、Microsoft Entra IDとは同期されなくなります。
- 自動ID管理によって同期されたグループメンバーシップは、権限の解決には使用されなくなりました。以前にそれらのグループメンバーシップを通じて権限を継承していたユーザーは、アクセスできなくなります。
- 自動ID管理がアクティブなときにDatabricksに認証したユーザーは、以前に表示したダッシュボードに引き続きアクセスできますが、グループメンバーシップはMicrosoft Entra IDから更新されません。
- Databricksにアクセスしたことがないユーザーは、自動ID管理が無効化されると、Microsoft Entra IDで割り当てられたグループに属していてもアクセスできません。
Databricks では、自動 ID 管理を無効化する前に SCIM プロビジョニングを設定することをお勧めします。「Microsoft Entra ID (Azure Active Directory) を使用してSCIMプロビジョニングを構成する」を参照してください。
SCIMプロビジョニングを無効化する
自動ID管理を検証した後、オプションでSCIMプロビジョニングを無効にすることが可能です。お使いの環境で以下のすべての条件が満たされていることを確認してから、SCIM を無効にしてください。
- ネストされたグループなし: ID構造は、Microsoft Entra ID のネストされたグループ メンバーシップに依存しません。
- 外部IDの整合性 :グループはSCIMコネクターアプリを使用してMicrosoft Entra IDからレプリケートされたため、Databricksの
externalIdの値は、対応するMicrosoft Entra IDのobjectIdの値と一致します。顧客インスタンス検出スクリプトを使用すれば、不一致を特定して解決できます。 - ローカルメンバーシップの変更なし :グループメンバーシップはSCIMを介してのみ管理されており、Databricksで手動で変更されていません。顧客インスタンス検出スクリプトは、ローカルで変更されたメンバーシップを検出できます。
お使いの環境がこれらの条件をすべて満たさない場合、Databricksでは、SCIMプロビジョニングと自動ID管理を並行して継続することをお勧めします。
SCIM無効化後の既知の制限事項
永続的な SCIM 同期グループメンバーシップ
SCIMによって同期されたグループメンバーシップは、SCIMが無効になった後でも保持されます。例えば、Microsoft Entra IDで子グループCが親グループPの下にネストされており、Microsoft Entra IDでCとPの関係が後に削除された場合でも、メンバーシップがDatabricksに残っているため、ユーザーはPから権限を継承する可能性があります。Databricks では、SCIM を無効にする前に、外部グループからの直接グループメンバーシップを整理することをお勧めします。
ネストされたグループ構造の環境
ネストされたグループ構造を使用する環境では、Databricks は、ネストされたグループメンバーシップを同期させるために、自動 ID 管理と並行して SCIM プロビジョニングの実行を継続することを推奨します。
手動で変更されたグループのメンバーシップ
Databricksでグループメンバーシップが手動で編集された場合、SCIMを無効にした後、これらのメンバーシップはMicrosoft Entra IDと同期されず、時間の経過とともに古くなる可能性があります。SCIM を無効にする前に、手動で変更されたグループメンバーシップを特定し修正するために、Databricks Knowledge Baseの自動 ID 管理有効化準備スクリプトの手順に従ってください。
移行の考慮事項
ネストされたグループはワークスペースに明示的に割り当てる必要があります。
ネストされた Microsoft Entra ID グループを使用する場合、子グループはワークスペース内でのリソース共有に自動的には利用できません。子グループにノートブックやクエリなどのワークスペースオブジェクトに対する権限を付与するには、親グループがすでに割り当てられている場合でも、その子グループをワークスペースに直接割り当てる必要があります。
例えば、親グループ P に子グループ C が含まれていて、P のみがワークスペースに割り当てられている場合、C 自体も割り当てられるまで、C にワークスペースリソースの権限を付与することはできません。
グループメンバーはジャストインタイムでプロビジョニングされます
SCIM とは異なり、自動 ID 管理はグループメンバーシップを Databricks に積極的に同期しません。グループメンバーは、Databricksで活動があった場合(例えば、ログインするなど)、またはアカウント管理者またはワークスペース管理者が明示的に追加した場合にプロビジョニングされます。
削除済みユーザーはすぐには非アクティブ化されません。
ユーザーが Microsoft Entra ID から削除されると、Databricks ではアクティブとして表示され続けます。ログインできませんが、ステータスは自動的に更新されません。
メールアドレスの変更により新しいユーザーが作成されます
ユーザーのEメールアドレスがMicrosoft Entra ID で変更された場合(例: alice@example.com が alice-new@example.com になる)、自動ID管理は既存のレコードを更新するのではなく、Databricksに新しいユーザーを作成します。これは現在の SCIM の動作と一致します。Eメールアドレスの変更については、Databricks サポートにお問い合わせください。
SCIM API は、自動 ID 管理によってプロビジョニングされたメンバーを返しません。
SCIM GET /groups/{id} API は、Databricks UI または SCIM を通じてプロビジョニングされたグループメンバーのみを返します。自動ID管理によってプロビジョニングされたユーザー、またはMicrosoft Entra IDに存在するがDatabricksにまだプロビジョニングされていないユーザーは返されません。
Unity Catalog の権限にはプロビジョニングされたIDが必要です。
Unity Catalog のアクセス許可付与 APIs は、Databricks にまだプロビジョニングされていない ID を参照できません。ID に権限を付与する前に、resolveByExternalId API を使用してプロビジョニングします。ID のプロビジョニングが完了した後、通常どおりアクセス許可を付与できます。
is_account_group_member()などのプリンシパルを名前で参照する関数では、最初にプリンシパルがプロビジョニングされている必要があります。
ワークスペースローカルグループは、自動 ID 管理によって管理されません
自動ID管理はワークスペースローカルグループを管理しません。ワークスペースローカルグループとそれらに割り当てられた権限は引き続き機能しますが、メンバーシップの更新は自動ID管理の外部で処理される必要があります。
Databricks では、自動 ID 管理でメンバーシップを管理できるように、ワークスペースローカルグループをアカウントレベルのグループに移行することをお勧めします。ワークスペースローカル グループをアカウント グループに移行するを参照してください。