この記事では、Azure Databricks ユーザーを追加、更新、削除する方法について説明します。
Azure Databricks ID モデルの概要については、「Azure Databricks の ID」を参照してください。
ユーザーのアクセスを管理するには、「認証とアクセス制御」を参照してください。
ユーザーを管理できるのは誰ですか?
Azure Databricks でユーザーを管理するには、アカウント管理者またはワークスペース管理者でなければなりません。
アカウント管理者は、ユーザーに対して、アカウントへの追加と管理者ロールの割り当てを実行できます。 また、ユーザーに対して、ワークスペースへの割り当てと、ワークスペースをまたいだデータ アクセスの構成もできますが、これはそれらのワークスペースで ID フェデレーションが使用されている場合に限られます。
ワークスペース管理者は、ユーザーに対して、Azure Databricks ワークスペースへの追加と、ワークスペース管理者ロールの割り当てができます。また、ワークスペース内のオブジェクトや機能へのアクセスを管理できます。たとえば、クラスターの作成や、指定されたペルソナベース環境へのアクセスなどです。 Azure Databricks ワークスペースにユーザーを追加すると、アカウントにも追加されます。
ワークスペース管理者は、ワークスペース内の
adminsグループのメンバーです。このグループは予約済みで、削除できません。Azure 組み込みの共同作成者ロールまたは所有者ロールを持つユーザー、または 必要な Azure 管理者アクセス許可 を持つカスタム ロールを持つユーザーは、Azure portal で [ ワークスペースの起動 ] をクリックすると、ワークスペース管理者ロールが自動的に割り当てられます。 詳細については、「ワークスペース管理者とは」を参照してください。
Microsoft Entra ID テナントから Azure Databricks アカウントにユーザーを同期する
Microsoft Entra ID テナントのユーザーを Azure Databricks アカウントまたは SCIM プロビジョニング コネクタに自動的に同期できます。
自動 ID 管理 を使用すると、Microsoft Entra ID でアプリケーションを構成することなく、Microsoft Entra ID のユーザー、サービス プリンシパル、およびグループを Azure Databricks に追加できます。 Databricks は Microsoft Entra ID をレコードのソースとして使用するため、ユーザーまたはグループ メンバーシップに対する変更は Azure Databricks で尊重されます。 自動 ID 管理は、2025 年 8 月 1 日以降に作成されたアカウントに対して既定で有効になっています。 詳細については、「Microsoft Entra IDからユーザーとグループを自動的に同期する」を参照してください。
SCIM プロビジョニング を使用すると、Microsoft Entra ID でエンタープライズ アプリケーションを構成して、ユーザーとグループを Microsoft Entra ID と同期させ続けることができます。 手順については、「SCIM を使用して Microsoft Entra ID からユーザーとグループを同期するを参照してください。
アカウントにユーザーを追加する
アカウント コンソール
アカウント管理者は、アカウント コンソールを使用して Azure Databricks アカウントにユーザーを追加できます。 Azure Databricks アカウントのユーザーは、ワークスペース、データ、またはコンピューティング リソースへの既定のアクセス権を持っていません。 1 人のユーザーが 50 を超える Azure Databricks アカウントに属することはできません。
- アカウント管理者として、アカウント コンソールにログインします。
- サイドバーで、[ユーザー管理] をクリックします。
- [ユーザー] タブで、[ユーザーの追加] をクリックします。
- ユーザーの名前とメール アドレスを入力します。
- [ユーザーの追加] をクリックします。
ワークスペース管理者設定
ワークスペース管理者として、Azure Databricks ワークスペースにログインします。
Azure Databricks ワークスペースの上部バーでユーザー名を選択し、[設定] を選択します。
[ID およびアクセス管理] タブをクリックします。
[ユーザー] の横にある [管理] をクリックします。
[ユーザーの追加] をクリックします。
[ 新規追加] をクリックします。
ユーザーの電子メール アドレスを入力します。
Azure Databricks ワークスペースの Microsoft Entra ID テナントに属している任意のユーザーを追加できます。 ワークスペースに新しいユーザーを追加すると、そのユーザーも Azure Databricks アカウントに追加されます。
追加をクリックします。
ユーザーにアカウント管理者ロールを割り当てる
注
[ユーザーの詳細] ページには、ユーザーに直接割り当てられているロールのみが表示されます。 グループ メンバーシップを通じて継承されたロールはアクティブですが、そのトグルは UI で有効として表示されません。
- アカウント管理者として、アカウント コンソールにログインします。
- サイドバーで、[ユーザー管理] をクリックします。
- ユーザー名を見つけてクリックします。
- [ ロール ] タブで、1 つ以上のロールを選択します。
ユーザーをワークスペースに割り当てる
アカウント管理者とワークスペース管理者は、アカウント コンソールまたはワークスペース管理者設定ページを使用して、Azure Databricks ワークスペースにサービス プリンシパルを割り当てることができます。
アカウント コンソール
アカウント コンソールを使用してワークスペースにユーザーを追加するには、ワークスペースで ID フェデレーションが有効でなければなりません。
- アカウント管理者として、アカウント コンソールにログインします。
- サイドバーで、[ワークスペース] をクリックします。
- 自分のワークスペース名をクリックします。
- [Permissions]\(アクセス許可\) タブで [Add permissions]\(アクセス許可の追加\) をクリックします。
- ユーザーを見つけて選択し、アクセス許可レベル (ワークスペース ユーザー、または管理者) を割り当てて、[保存] をクリックします。
ワークスペース管理者設定
- ワークスペース管理者として、Azure Databricks ワークスペースにログインします。
- Azure Databricks ワークスペースの上部バーでユーザー名を選択し、[設定] を選択します。
- [ID およびアクセス管理] タブをクリックします。
- [ユーザー] の横にある [管理] をクリックします。
- [ユーザーの追加] をクリックします。
- 既存のユーザーを選んでワークスペースに割り当てるか、[新規追加] をクリックして新しいユーザーを作成します。
- 追加をクリックします。
ワークスペースからユーザーを削除
ユーザーがワークスペースから削除されると、そのユーザーはワークスペースにアクセスできなくなりますが、そのユーザーに対するアクセス許可は維持されます。 そのユーザーが後でワークスペースに再び追加された場合、ユーザーは以前のアクセス許可を回復します。
アカウント コンソール
アカウント コンソールを使用してワークスペースからユーザーを削除するには、ワークスペースで ID フェデレーションが有効でなければなりません。
- アカウント管理者として、アカウント コンソールにログインします。
- サイドバーで、[ワークスペース] をクリックします。
- 自分のワークスペース名をクリックします。
- [アクセス許可] タブで、ユーザーを見つけます。
-
をクリックします。ユーザー行の右端にある kebab メニューをクリックし、[削除] を選択します。 - 確認のダイアログ ボックスで [削除] をクリックします。
ワークスペース管理者設定
- ワークスペース管理者として、Azure Databricks ワークスペースにログインします。
- Azure Databricks ワークスペースの上部バーでユーザー名を選択し、[設定] を選択します。
- [ID およびアクセス管理] タブをクリックします。
- [ユーザー] の横にある [管理] をクリックします。
- ユーザーと を見つけます。ユーザー行の右端にある kebab メニューを選択し、[ 削除] を選択します。
- [削除] をクリックして確定します。
ワークスペース管理者ロールをユーザーに割り当てる
- ワークスペース管理者として、Azure Databricks ワークスペースにログインします。
- Azure Databricks ワークスペースの上部バーでユーザー名を選択し、[設定] を選択します。
- [ID およびアクセス管理] タブをクリックします。
- [ユーザー] の横にある [管理] をクリックします。
- ユーザーを選択します。
- [ エンタイトルメント] で、[ 管理者アクセス] をオンにします。
ワークスペース ユーザーからワークスペース管理者ロールを削除するには同じ手順を実行しますが、[管理者アクセス] チェックボックスの選択を解除します。
ユーザーを非アクティブ化する
アカウント レベルまたはワークスペース レベルでユーザーを非アクティブ化できます。
アカウント管理者は、Azure Databricks アカウント全体でユーザーを非アクティブ化できます。 非アクティブ化により、ユーザーはアカウント、ワークスペース、または Databricks API を認証およびアクセスできなくなりますが、アクセス許可やオブジェクトは削除されません。 これは、破壊的な作用である除去に好ましい。
非アクティブ化の影響:
- ユーザーは、Databricks UI または API を認証またはアクセスできません。
- ユーザーによって生成されたトークンを使用するアプリケーションまたはスクリプトは、Databricks API にアクセスできなくなりました。 トークンは残りますが、ユーザーが非アクティブである間は認証に使用できません。
- ユーザーが所有するコンピューティング リソースは引き続き実行されます。
- ユーザーによって作成されたスケジュールされたジョブは、新しい所有者に割り当てられている場合を除いて失敗します。
再アクティブ化すると、ユーザーは同じアクセス許可でアクセスを回復します。
アカウント レベルの非アクティブ化
アカウント管理者は、Azure Databricks アカウント全体でユーザーを非アクティブ化できます。 ユーザーがアカウント レベルで非アクティブ化されると、Azure Databricks アカウントまたはアカウント内のワークスペースに対して認証を行うことはできません。
アカウント コンソールを使用してユーザーを非アクティブ化することはできません。 代わりに、アカウント ユーザー API を使用します。 例えば次が挙げられます。
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .
update-user.json:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "replace",
"path": "active",
"value": [
{
"value": "false"
}
]
}
]
}
ワークスペース レベルの非アクティブ化
ユーザーがワークスペース レベルで非アクティブ化されると、その特定のワークスペースに対して認証することはできませんが、アカウントとアカウント内の他のワークスペースに対して認証を行うことができます。
ワークスペース管理者設定ページを使用してユーザーを非アクティブ化することはできません。 代わりに、ワークスペース ユーザー API を使用します。 例えば次が挙げられます。
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .
update-user.json:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "replace",
"path": "active",
"value": [
{
"value": "false"
}
]
}
]
}
Azure Databricks アカウントからユーザーを削除する
アカウント管理者は、Azure Databricks アカウントからユーザーを削除できます。 これをワークスペース管理者が行うことはできません。 アカウントからユーザーを削除すると、そのユーザーはワークスペースからも削除されます。 アカウント コンソールを使用してユーザーを削除する場合、そのアカウントに設定されている SCIM プロビジョニング コネクタまたは SCIM API アプリケーションを使用してそのユーザーを削除する必要もあります。 そうしないと、SCIM プロビジョニングによって、次回、同期を行うときにそのユーザーが追加されます。 SCIM を使用して Microsoft Entra ID からユーザーとグループを同期するを参照してください。
重要
アカウントからユーザーを削除すると、ID フェデレーションが有効になっているかどうかに関係なく、そのユーザーはそのワークスペースからも削除されます。 アカウントレベルのユーザーの削除は、それらによるアカウント内のすべてのワークスペースへのアクセスを禁止する場合を除き、行わないことをお勧めします。 ユーザーを削除した場合の次の結果に注意してください。
- ユーザーによって生成されたトークンを使用するアプリケーションまたはスクリプトは、Databricks API にアクセスできなくなりました。
- ユーザーが所有するジョブは失敗します。
- ユーザーが所有するクラスターは停止します。
- そのユーザーによってインストールされたライブラリは無効であり、再インストールする必要があります。
- 共有が失敗しないように、ユーザーが作成し、所有者として実行資格情報を使用して共有するクエリまたはダッシュボードを新しい所有者に割り当てる必要があります。
ユーザーがアカウントから削除されると、そのユーザーはアカウントまたはそのワークスペースにアクセスできなくなりますが、そのユーザーに対するアクセス許可は維持されます。 そのユーザーが後でアカウントに再び追加された場合、ユーザーは以前のアクセス許可を回復します。
アカウント コンソールを使用してユーザーを削除するには、次の操作を行います。
- アカウント管理者として、アカウント コンソールにログインします。
- サイドバーで、[ユーザー管理] をクリックします。
- ユーザー名を見つけてクリックします。
- [ ユーザー情報 ] タブで、 をクリックします。右上隅にある kebab メニューをクリックし、[ 削除] を選択します。
- 確認ダイアログで [削除の確認] をクリックします。
注
自動 ID 管理を有効にすると、Microsoft Entra ID 内のユーザーがアカウント コンソールに表示されます。 その状態は非アクティブとして表示されます 。使用状況がなく 、ユーザーの一覧から削除することはできません。 これらはアカウントでアクティブではなく、ユーザーの制限に対してカウントされません。
API を使用してユーザーを管理する
アカウント管理者とワークスペース管理者は、Databricks API を使用して、Azure Databricks のアカウントとワークスペース内のユーザーを管理できます。
API を使用してアカウント内のユーザーを管理する
管理者は、アカウント ユーザー API を使用して、Azure Databricks アカウントでユーザーを追加したり管理したりできます。 アカウント管理者とワークスペース管理者は、別のエンドポイント URL を使用して API を呼び出します。
- アカウント管理者は
{account-___domain}/api/2.1/accounts/{account_id}/scim/v2/を使用します。 - ワークスペース管理者は
{workspace-___domain}/api/2.0/account/scim/v2/を使用します。
詳細については、「アカウント ユーザー API」に関するページを参照してください。
API を使用してワークスペース内のユーザーを管理する
アカウントおよびワークスペース管理者は、ユーザーのワークスペース割り当て API を使用して、ID フェデレーション対応のワークスペースにユーザーを割り当てることができます。 ワークスペース割り当て API は、Azure Databricks のアカウントとワークスペースでサポートされています。
- アカウント管理者は
{account-___domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignmentsを使用します。 - ワークスペース管理者は
{workspace-___domain}/api/2.0/preview/permissionassignments/principals/{user_id}を使用します。
「ワークスペース割り当て API」を参照してください。
ID フェデレーションが有効ではないワークスペースの場合、ワークスペース管理者はワークスペース レベルの API を使用してワークスペースにユーザーを割り当てることができます。 詳しくは、「ワークスペース ユーザー API」を参照してください。