AI/BI管理ガイド
このページでは、AI/BI 製品に適用できるアカウントおよびワークスペース レベルの管理制御について説明します。
ダッシュボードとGenieアクセスの管理
ユーザーには、Databricks ワークスペースとの対話方法を制御するワークスペース レベルでのエンタイトルメントが付与されます。各アクセスタイプの詳細については 、「エンタイトルメントの管理 」を参照してください。
ダッシュボードとGenie エージェントは、次のユーザータイプと安全に共有できます。
-
ワークスペース ユーザー : アクセス許可のスコープは、メンバーであるワークスペースに限定されます。 複数のワークスペースにアクセスするには、各ワークスペースに個別に追加する必要があります。 アクセスは、データ資産との対話方法を決定する権限によって制御されます。
- **Databricks SQLアクセス**権限があれば、ユーザーは新しいダッシュボードとGenieエージェントを作成できます。 下書きおよび公開済みダッシュボードの表示、編集、管理のアクセス権を付与できます。コンピュートおよびUnity Catalogで管理されるデータへのアクセス権を付与できます。
- コンシューマー アクセス 権限がある場合: ユーザーには、公開されたダッシュボードへのアクセス権を付与できます。コンピュートおよび Unity Catalog 管理データへのアクセスを許可できます。 詳細については、「 コンシューマー アクセスとは」を参照してください。
-
アカウントユーザー: 共有データ権限を持つ公開済みダッシュボードへのアクセス権を付与できます。アカウントユーザーは、Databricksアカウントに登録されている必要がありますが、追加のリソースにアクセスする必要はなく、ワークスペースに追加する必要もありません。アカウントユーザーは、アカウント内の任意のワークスペースで、ダッシュボードまたはGenieエージェントの受信者として割り当てることができます。公開済みダッシュボードと共有データ権限の詳細については、ダッシュボードを共有するを参照してください。
ワークスペースにプリンシパルを追加する際に、コンシューマー アクセスを含め、各プリンシパルのエンタイトルメントを選択するには、「ワークスペースのエンタイトルメント制御の移行」を参照してください。エンタイトルメントの詳細については、「エンタイトルメントの管理」を参照してください。
アクセスの種類別の機能
次の表は、各アクセスの種類に関連付けられている機能をまとめたものです。
機能 | アカウントメンバーへのアクセス | コンシューマーアクセス | Databricks SQLへのアクセス |
|---|---|---|---|
ダッシュボードの表示/実行 | ✓ | ✓ | ✓ |
Genieエージェントの表示/実行 | ✓ | ✓ | ✓ |
ビューでの行レベルと列レベルのセキュリティの適用 | ✓ | ✓ | |
SQLツールを使用したウェアハウス クエリBI | ✓ | ✓ | |
Unity Catalog で管理されたデータにサードパーティの BI ツールでアクセス | ✓ | ||
AI/BI ダッシュボードの読み取り/書き込み | ✓ | ||
読み取り/書き込みGenie Agent | ✓ |
アカウント ユーザーは、共有または個別のデータ権限で公開されたダッシュボードを表示できます。ただし、アカウント ユーザーは、ワークスペースにバインドされたカタログなど、ワークスペースにバインドされたセキュリティ保護可能なデータにアクセスすることはできません。
ネットワークに関する考慮事項
IPアクセスリストが設定されている場合、ダッシュボードにアクセスできるのは、VPNを使用する場合など、ユーザーが承認されたIP範囲内からダッシュボードにアクセスする場合のみです。これは、ワークスペースに割り当てられているかどうかに関係なく、すべてのユーザーに適用されます。アクセスの構成の詳細については、「 IP アクセス リストの管理」を参照してください。
ユーザーとグループの管理
Databricksに登録されているすべてのユーザーは、お使いのDatabricksアカウントに属します。Databricksアカウントにユーザーを登録すると、そのユーザーが共有ダッシュボードまたはGenieエージェントを表示する際に、Databricksが認証に使用できる検証可能なIDが確立されます。個々のユーザーをグループに編成すると、作成者と編集者にとって共有が容易になります。例えば、作成者はアカウント内の各ユーザーと共有する代わりに、単一の名前付きグループと共有できます。
ユーザーは、Genieエージェントとやり取りするために適切なデータとコンピュートの権限を持っている必要があります。これはワークスペースユーザーにのみ付与できます。
ユーザーは、自動ID管理を使用して、IDプロバイダー内の任意のユーザー、サービスプリンシパル、またはグループとダッシュボードを共有することもできます。共有すると、これらのユーザー、サービスプリンシパル、およびグループのメンバーは、ログイン時にDatabricksアカウントに自動的に追加されます。 それらはダッシュボードの元のワークスペースには追加されません。詳細については、 「自動 ID 管理」を参照してください。
ユーザーとグループは、ゼロ、1つ、または複数のワークスペースにアクセスできます。作成者は、ダッシュボードまたはGenie エージェントを共有する際に、他のワークスペースオブジェクトと同様に、ユーザーとグループを アクセス権を持つユーザー リストに追加して、特定の権限を割り当てることができます。
ダッシュボードの場合、次のいずれかのオプションを使用して 共有設定 を構成できます。
- アクセス権を持つユーザーのみが閲覧できます
- アカウント内の誰でも閲覧可
ダッシュボードが共有データ権限で公開され、アカウント内の特定のユーザー、グループ、またはすべてのユーザーと共有されている場合、それらのユーザーは、元のワークスペースへのアクセス権があるかどうかに関係なく、ダッシュボードにアクセスできます。
次の図は、ワークスペース レベルとアカウント レベルでのユーザーとグループの関係を示しています。
Databricks では、アカウント管理者がアカウント レベルの SCIM プロビジョニングを使用して、すべてのユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。Databricks アカウントで ID を設定するときに、これらのユーザーとグループを手動で登録することもできます。このアプローチにより、作成者がダッシュボードの共有を試みる前に、対象となる受信者として含めることができます。「 すべての ID プロバイダー ユーザーが Databricks にアクセスできるようにする」を参照してください。
アカウント登録以外の追加の設定は必要ありません。ユーザーは、ワークスペースに割り当てられたり、コンピュート リソースへのアクセス権を付与されたりする必要はありません。
ダッシュボードの埋め込みを管理する
ユーザーは、ダッシュボードを外部のWebサイトやアプリケーションに安全に埋め込むことができます。各埋め込みオプションでは、ワークスペース管理者が設定と権限を構成する必要があります。埋め込み設定の管理方法については、ダッシュボードとGenie Agentの埋め込みの管理を参照してください。
ワークスペース管理者のサブスクリプションコントロール
ワークスペース管理者は、ユーザーがサブスクリプションを使用してダッシュボードを配布できないようにすることができます。この設定を変更すると、すべてのユーザーがスケジュールされたダッシュボードにEメールサブスクライバーを追加できなくなります。 ダッシュボードの編集者は購読者を追加できず、ダッシュボードの閲覧者はスケジュールされたダッシュボードを購読するオプションを持っていません。
Eメール アップデートの共有を防ぐには:
- Databricksワークスペースの上部のバーにあるユーザー名をクリックし、 [設定] を選択します。
- 「設定 」サイドバーで、「 通知 」をクリックします。
- [ダッシュボードのEメールサブスクリプションを有効にする ]オプションをオフにします。
この設定がオフの場合、既存のサブスクリプションは停止するし、既存のサブスクリプション リストを変更することはできません。 この設定をオンに戻すと、サブスクリプションは既存のリストの使用を再開します。
Slack または Microsoft Teams の通知を設定する
ダッシュボード編集者は、Slack およびMicrosoft Teams チャンネルをサブスクライバーとしてスケジュールに追加できます。 ユーザーが Slack またはMicrosoft Teams チャンネルをダッシュボード スケジュールに登録できるようにする前に、ワークスペース管理者として Slack またはMicrosoft Teams の通知先を構成します。
Slack および Teams サブスクリプションでは、次の内容を含むダッシュボード スナップショットが提供されます。
- チャンネル内で直接表示できるダッシュボードの PNG 画像スナップショット
- Databricksのダッシュボードを開くための直接リンク
- メッセージ スレッドに添付された PDF スナップショット
アプリの作成、OAuth 権限の構成、ダッシュボード サブスクリプションの通知先の設定に関する詳細な手順については、Slack の宛先の場合は「Slack 通知の構成」を、Microsoft Teams の宛先の場合は「Microsoft Teams 通知の構成」を参照してください。
ダウンロードコントロール
ワークスペース管理者は、セキュリティ設定を調整して、次のステップでユーザーがダッシュボードとGenieエージェントの結果をダウンロードするのを防ぐことができます。
- Databricksワークスペースの上部のバーにあるユーザー名をクリックし、 [設定] を選択します。
- 「設定 」サイドバーで、「 セキュリティ 」をクリックします。
- SQL 結果のダウンロード オプションをオフにします。
ダッシュボードの所有権を譲渡する
ワークスペース管理者は、ダッシュボードの所有権を別のユーザーまたはサービスプリンシパルに譲渡できます。
- ダッシュボードのリストに移動します。ダッシュボード名をクリックして編集します。
- [共有] をクリックします。
- [共有]
ダイアログの右上にある アイコンをクリックします。

- 検索する名前を入力し、新しい所有者を選択してください。ユーザーまたはサービスプリンシパルを選択できます。
- 確認 をクリックします。
新しい所有者は、 CAN MANAGE権限を持って 「共有」 ダイアログに表示されます。 所有者別にリストされたダッシュボードを表示するには、利用可能なダッシュボードのリストをクリックして移動します。 ダッシュボード 。
AI/BI アクティビティの監視
障害のため、2025 年 10 月 16 日から 2025 年 11 月 19 日までの期間の一部のダッシュボード監査ログが欠落している可能性があります。
管理者は、監査ログを使用してダッシュボードおよびGenie Agentのアクティビティを監視できます。AI/BI dashboardイベントおよびGenie Agentイベントをご覧ください。監査ログ情報にアクセスして一般的な質問に答える方法を示すコード例については、監査ログとアラートを使用したGenie Agentの使用状況の監視を参照してください。