Verwalten von Gruppen

In diesem Artikel erfahren Sie, wie Administratoren Azure Databricks-Gruppen erstellen und verwalten. Eine Übersicht über das Azure Databricks-Identitätsmodell finden Sie unter Azure Databricks-Identitäten.

Informationen zum Verwalten des Zugriffs für Gruppen finden Sie unter Authentifizierung und Zugriffssteuerung.

Übersicht über die Gruppenverwaltung

Gruppen vereinfachen die Identitätsverwaltung durch Erleichtern der Zuweisung des Zugriffs auf Arbeitsbereiche, Daten und andere sicherungsfähige Objekte. Alle Databricks-Identitäten können als Mitglieder von Gruppen zugewiesen werden.

Typen von Gruppen in Azure Databricks

Azure Databricks verfügt über vier Arten von Gruppen, die nach ihrer Quelle kategorisiert sind:

• Kontogruppen kann der Zugriff auf Daten in einem Unity Catalog-Metastore, auf Rollen für Dienstprinzipale und Gruppen und auf Berechtigungen für identitätsverbundene Arbeitsbereiche zugewiesen werden.

• Arbeitsbereichslokale Gruppen sind Legacygruppen, die nur im Kontext des Arbeitsbereichs verwendet werden können, in dem sie erstellt wurden. Diese Gruppen können nicht zu zusätzlichen Arbeitsbereichen zugewiesen werden, Zugriff auf Daten in einem Unity-Katalogmetastore gewährt bekommen oder Rollen auf Kontoebene erhalten. Databricks empfiehlt, vorhandene arbeitsbereichslokale Gruppen in Kontogruppen umzuwandeln. Weitere Informationen zu arbeitsbereichslokalen Gruppen finden Sie unter Verwalten von arbeitsbereichslokalen Gruppen (Legacy).

• Externe Gruppen sind Gruppen, die in Azure Databricks aus Microsoft Entra ID erstellt werden. Diese Gruppen werden mit einem SCIM-Bereitstellungsconnector erstellt und bleiben mit Microsoft Entra ID synchronisiert. Standardmäßig kann die Mitgliedschaft in externen Gruppen nicht über die Azure Databricks-Kontokonsole oder die Seite mit den Arbeitsbereichs-Administratoreinstellungen aktualisiert werden. Externe Gruppen sind Kontogruppen.

  Hinweis

  Um die externe Gruppenmitgliedschaft über die Azure Databricks-Benutzeroberfläche zu aktualisieren, können Kontoadmins auf der Seite mit der Vorschau der Kontokonsole die Option Vorschau unveränderlicher externer Gruppen deaktivieren.

• Systemgruppen werden von Azure Databricks erstellt und verwaltet. Jedes Konto verfügt über eine Kontosystemgruppe namens account users, die alle Benutzende enthält. Es gibt zwei Systemgruppen auf Arbeitsbereichsebene in jedem Arbeitsbereich: users und admins. Alle Mitglieder des Arbeitsbereichs gehören zur Gruppe users, und Arbeitsbereichsadministratoren sind auch Mitglieder der Gruppe admins. Systemgruppen können nicht gelöscht werden.

Benutzende mit einer integrierten Rolle „Mitwirkender“ oder „Besitzer“ in Azure werden der Arbeitsbereichsgruppe admins automatisch zugewiesen. Weitere Informationen finden Sie unter Verwalten von Abonnements.

Wer kann Kontogruppen verwalten?

Zum Erstellen von Kontogruppen in Azure Databricks müssen Sie Kontoadministrator oder Arbeitsbereichsadministrator sein. Arbeitsbereichsadministratoren müssen sich in einem Identitätsverbundarbeitsbereich befinden, um eine Kontogruppe erstellen zu können.

Zum Verwalten von Kontogruppen in Azure Databricks müssen Sie über die Rolle Gruppenmanager für eine Gruppe verfügen. Gruppenmanager können die Gruppenmitgliedschaft verwalten und die Gruppe löschen. Sie können auch anderen Benutzern die Rolle „Gruppenmanager“ zuweisen. Kontoadministrator:innen können Gruppenrollen mithilfe der Kontokonsoleverwalten, und Arbeitsbereichsadministrator:innen können Gruppenrollen mithilfe der Seite mit den Einstellungen für Arbeitsbereichsadministrator:innenverwalten. Gruppenmanager, die keine Arbeitsbereichsadministratoren sind, können Gruppenrollen mithilfe der Access Control-API für Konten verwalten.

Kontoadministratoren verfügen über die Gruppenmanagerrolle auf Kontoebene, d. h., sie verfügen über die Gruppenmanagerrolle für alle Gruppen im Konto. Arbeitsbereichsadministratoren verfügen über die Rolle „Gruppenmanager“ für Kontogruppen, die sie erstellen.

Arbeitsbereichsadministratoren können auch arbeitsbereichslokale Gruppen erstellen und verwalten.

Synchronisieren von Gruppen mit Ihrem Azure Databricks-Konto aus Ihrem Microsoft Entra ID-Mandanten

Sie können mithilfe eines SCIM-Bereitstellungsconnectors Gruppen aus Ihrem Microsoft Entra ID-Mandanten automatisch oder mit Ihrem Azure Databricks-Konto synchronisieren.

automatische Identitätsverwaltung (Public Preview) ermöglicht es Ihnen, Benutzer, Dienstprinzipale und Gruppen von Microsoft Entra ID in Azure Databricks hinzuzufügen, ohne eine Anwendung in Microsoft Entra ID zu konfigurieren. Databricks verwendet Microsoft Entra-ID als Datensatzquelle, sodass änderungen an Benutzern oder Gruppenmitgliedschaften in Azure Databricks berücksichtigt werden. Diese Vorschau unterstützt geschachtelte Gruppen. Ausführliche Informationen finden Sie unter Automatisches Synchronisieren von Benutzern und Gruppen aus microsoft Entra ID.

.. Hinweis:: Während der öffentlichen Vorschau zur automatischen Identitätsverwaltung werden geschachtelte Gruppen nicht in der Azure Databricks-Benutzeroberfläche aufgeführt. Weitere Informationen finden Sie unter Einschränkungen der Benutzeroberfläche für die automatische Identitätsverwaltung während der öffentlichen Vorschau.

SCIM-Bereitstellung ermöglicht es Ihnen, eine Unternehmensanwendung in Microsoft Entra ID zu konfigurieren, um Benutzer und Gruppen synchronisiert zu halten mit Microsoft Entra ID. Die Bereitstellung über SCIM unterstützt keine verschachtelten Gruppen. Anweisungen finden Sie unter Synchronisieren von Benutzern und Gruppen von Microsoft Entra ID mithilfe von SCIM-.

Verwalten von Kontogruppen mithilfe der Kontokonsole

Kontoadministratoren können Gruppen im Azure Databricks-Konto mithilfe der Kontokonsole hinzufügen und verwalten. Arbeitsbereichsadministrator*innen und Gruppenmanager*innen können Gruppen über die Seite mit den Arbeitsbereichseinstellungen und mithilfe von Databricks-APIs verwalten. Siehe Verwalten von Kontogruppen mithilfe der Seite „Administratoreinstellungen“ für Arbeitsbereiche und Verwalten von Kontogruppen mithilfe der API.

Hinzufügen von Gruppen zu Ihrem Konto mithilfe der Kontokonsole

Gehen Sie wie folgt vor, um dem Konto mithilfe der Kontokonsole eine Gruppe hinzuzufügen:

1. Melden Sie sich als Kontoadministrator bei der Kontokonsole an.
2. Klicken Sie in der Randleiste auf Benutzerverwaltung.
3. Klicken Sie auf der Registerkarte Gruppen auf Gruppe hinzufügen.
4. Geben Sie einen Namen für die Gruppe ein.
5. Klicken Sie auf Confirm (Bestätigen).
6. Wenn Sie dazu aufgefordert werden, fügen Sie Benutzer, Dienstprinzipale und Gruppen zu der Gruppe hinzu.

Hinzufügen von Mitgliedern zu einer Gruppe mithilfe der Kontokonsole

Um externe Gruppen mit der Microsoft Entra ID synchron zu halten, können Sie die Mitgliedschaft in externen Gruppen in der Kontokonsole standardmäßig nicht verwalten. Gehen Sie wie folgt vor, um mithilfe der Kontokonsole Benutzer, Dienstprinzipale und Gruppen zu einer Gruppe hinzuzufügen:

1. Melden Sie sich als Kontoadministrator bei der Kontokonsole an.
2. Klicken Sie in der Randleiste auf Benutzerverwaltung.
3. Wählen Sie auf der Registerkarte Gruppen die Gruppe aus, die Sie aktualisieren möchten.
4. Klicken Sie auf Mitglieder hinzufügen.
5. Suchen Sie den Benutzer, die Gruppe oder den Dienstprinzipal, den bzw. die Sie hinzufügen möchten, und wählen Sie ihn/sie aus.
6. Klicken Sie auf Hinzufügen.

Es gibt eine Verzögerung von ein paar Minuten zwischen dem Aktualisieren einer Gruppe aus einem Konto und der Gruppe, die in Arbeitsbereichen aktualisiert wird.

Verwalten von Rollen für eine Gruppe über die Kontokonsole

Wichtig

Dieses Feature befindet sich in der Public Preview.

Kontoadministrator*innen können Rollen für Kontogruppen in der Kontokonsole erteilen.

1. Melden Sie sich als Kontoadministrator*in bei der Kontokonsole an.
2. Klicken Sie in der Randleiste auf Benutzerverwaltung.
3. Suchen Sie auf der Registerkarte Gruppen nach dem Gruppennamen, und klicken Sie darauf.
4. Klicken Sie auf die Registerkarte Berechtigungen.
5. Klicken Sie auf Zugriff gewähren.
6. Suchen Sie nach dem Benutzer, Dienstprinzipal oder der Gruppe, wählen Sie diese(n) aus, und wählen Sie die Rolle Gruppe: Manager aus.
7. Klicken Sie auf Speichern.

Ändern des Namens einer Gruppe

Um externe Gruppen mit der Microsoft Entra ID synchron zu halten, können Sie den Namen einer externen Gruppe in der Kontokonsole standardmäßig nicht aktualisieren. Kontoadministrator*innen können die Namen von Kontogruppen über die Kontokonsole aktualisieren:

1. Melden Sie sich als Kontoadministrator bei der Kontokonsole an.
2. Klicken Sie in der Randleiste auf Benutzerverwaltung.
3. Wählen Sie auf der Registerkarte Gruppen die Gruppe aus, die Sie aktualisieren möchten.
4. Klicken Sie auf Gruppeninformationen.
5. Aktualisieren den unter Name angezeigten Namen.
6. Klicken Sie auf Speichern.

Gruppenmanager*innen können den Namen einer Gruppe nicht über die Kontokonsole ändern. Verwenden Sie stattdessen die Kontogruppen-API. Beispiel:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

Informationen zum Authentifizieren bei der Kontogruppen-API finden Sie unter Autorisieren des Zugriffs auf Azure Databricks-Ressourcen.

Zuweisen einer Gruppe zu einem Arbeitsbereich mithilfe der Kontokonsole

Zum Hinzufügen von Gruppen zu einem Arbeitsbereich mithilfe der Kontokonsole muss der Arbeitsbereich für den Identitätsverbund aktiviert sein. Arbeitsbereichen können nur Kontogruppen zugewiesen werden.

1. Melden Sie sich als Kontoadministrator bei der Kontokonsole an.
2. Klicken Sie auf der Randleiste auf Arbeitsbereiche.
3. Klicken Sie auf den Namen Ihres Arbeitsbereichs.
4. Klicken Sie auf der Registerkarte Permissions auf Add permissions.
5. Suchen Sie nach der Gruppe, weisen Sie die Berechtigungsstufe (Arbeitsbereichsbenutzer oder Admin) zu, und klicken Sie dann auf Speichern.

Entfernen einer Gruppe aus einem Arbeitsbereich mithilfe der Kontokonsole

Zum Entfernen von Gruppen zu einem Arbeitsbereich mithilfe der Kontokonsole muss der Arbeitsbereich für den Identitätsverbund aktiviert sein. Nur Kontogruppen können über die Kontokonsole aus Arbeitsbereichen entfernt werden.

Wenn eine Kontogruppe aus einem Arbeitsbereich entfernt wird, können Gruppenmitglieder nicht mehr auf den Arbeitsbereich zugreifen, die Berechtigungen werden jedoch für die Gruppe verwaltet. Wenn die Gruppe später wieder zu einem Arbeitsbereich hinzugefügt wird, erhält die Gruppe ihre vorherigen Berechtigungen zurück.

1. Melden Sie sich als Kontoadministrator bei der Kontokonsole an.
2. Klicken Sie auf der Randleiste auf Arbeitsbereiche.
3. Klicken Sie auf den Namen Ihres Arbeitsbereichs.
4. Suchen Sie auf der Registerkarte Berechtigungen die Gruppe.
5. Klicken Sie ganz rechts in der Gruppenzeile auf das Kebabmenü und wählen Sie Entfernenaus.
6. Klicken Sie im Bestätigungsdialogfeld auf Entfernen.

Zuweisen von Kontoadministratorrollen zu einer Gruppe

Sie können die Rolle „Kontoadministrator“ oder „Marketplace-Administrator“ nicht über die Kontokonsole einer Gruppe zuweisen, aber Sie können sie Gruppen mithilfe von Kontogruppen-API zuweisen. Beispiel:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

Informationen zum Authentifizieren bei der Kontogruppen-API finden Sie unter Autorisieren des Zugriffs auf Azure Databricks-Ressourcen.

Entfernen von Gruppen aus Ihrem Azure Databricks-Konto

Kontoadministratoren können Gruppen aus einem Azure Databricks-Konto entfernen. Gruppenmanager*innen können Gruppen auch mithilfe der Kontogruppen-API aus dem Konto entfernen, siehe Verwalten von Kontogruppen mithilfe der API.

Wichtig

Wenn Sie eine Gruppe entfernen, werden alle Benutzer in dieser Gruppe aus dem Konto gelöscht und verlieren den Zugriff auf alle Arbeitsbereiche, auf die sie Zugriff hatten (es sei denn, sie sind Mitglieder einer anderen Gruppe oder haben direkten Zugriff auf das Konto oder auf Arbeitsbereiche). Databricks empfiehlt, Gruppen auf Kontoebene nicht zu löschen, es sei denn, Sie möchten, dass sie den Zugriff auf alle Arbeitsbereiche des Kontos verlieren. Beachten Sie die folgenden Folgen des Löschens von Benutzern:

• Anwendungen oder Skripte, die die vom Benutzer generierten Token verwenden, können nicht mehr auf Databricks APIs zugreifen
• Aufträge, die den jeweiligen Benutzer*innen gehören, schlagen fehl.
• Cluster, die den jeweiligen Benutzer*innen gehören, werden beendet.
• Vom Benutzer erstellte Abfragen oder Dashboards, die mit der Berechtigung „Als Besitzer ausführen“ freigegeben wurden, müssen einem neuen Besitzer zugewiesen werden, damit die Freigabe nicht fehlschlägt.

Gehen Sie wie folgt vor, um eine Gruppe unter Verwendung der Kontokonsole zu entfernen:

1. Melden Sie sich als Kontoadministrator bei der Kontokonsole an.
2. Klicken Sie in der Randleiste auf Benutzerverwaltung.
3. Auf der Registerkarte Gruppen suchen Sie die Gruppe, die Sie entfernen möchten.
4. Klicken Sie auf das Kebab-Menü ganz rechts in der Zeile des Benutzers, und wählen Sie Löschen aus.
5. Klicken Sie im Bestätigungsdialogfeld auf Löschen bestätigen.

Wenn Sie eine Gruppe mithilfe der Kontokonsole entfernen, müssen Sie sicherstellen, dass Sie die Gruppe auch mithilfe aller SCIM-Bereitstellungsconnectors oder SCIM-API-Anwendungen entfernen, die für das Konto eingerichtet wurden. Wenn Sie dies nicht tun, fügt die SCIM-Bereitstellung die Gruppe und ihre Mitglieder bei der nächsten Synchronisierung einfach wieder hinzu. Weitere Informationen finden Sie unter Synchronisieren von Benutzenden und Gruppen über Microsoft Entra ID mithilfe von SCIM.

Informationen dazu, wie Sie eine Gruppe mithilfe der API aus einem Azure Databricks-Konto entfernen können, finden Sie unter Synchronisieren von Benutzern und Gruppen mit Ihrem Azure Databricks-Konto und unter Kontogruppen-API.

Verwalten von Kontogruppen mithilfe der Seite „Administratoreinstellungen“ für Arbeitsbereiche

Arbeitsbereichsadministratoren können Kontogruppen im Identitätsverbundarbeitsbereich erstellen und verwalten, indem sie die Seite „Arbeitsbereichsadministratoreinstellungen“ verwenden.

Hinweis

Es gibt eine Verzögerung von ein paar Minuten zwischen dem Aktualisieren einer Kontogruppe aus einem Arbeitsbereich und der Gruppe, die im Konto aktualisiert wird.

Informationen zum Erstellen von arbeitsbereichslokalen Gruppen in Arbeitsbereichen finden Sie unter Verwalten von arbeitsbereichslokalen Gruppen (Legacy).

Erstellen oder Zuweisen einer Gruppe zu einem Arbeitsbereich mithilfe der Administratoreinstellungsseite für Arbeitsbereiche

Gehen Sie wie folgt vor, um eine Kontogruppe in einem Arbeitsbereich über die Seite „Administratoreinstellungen“ des Arbeitsbereichs zuzuweisen oder zu erstellen:

1. Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.

2. Wählen Sie Ihren Benutzernamen in der oberen Leiste des Azure Databricks-Arbeitsbereichs und anschließend Einstellungen aus.

3. Klicken Sie auf die Registerkarte Identität und Zugriff.

4. Klicken Sie neben Gruppen auf Verwalten.

5. Klicken Sie auf + Gruppe hinzufügen.

6. Wählen Sie eine vorhandene Gruppe aus, die Sie dem Arbeitsbereich zuweisen möchten, oder klicken Sie auf Neu hinzufügen, um eine neue Kontogruppe zu erstellen.

   Hinweis

   Wenn Ihr Arbeitsbereich nicht für den Identitätsverbund aktiviert ist, können Sie Ihrem Arbeitsbereich keine bestehenden Kontogruppen zuweisen oder Kontogruppen in Ihrem Arbeitsbereich hinzufügen bzw. erstellen. Sie müssen stattdessen arbeitsbereichslokale Gruppen verwenden. Weitere Informationen finden Sie unter Verwalten von arbeitsbereichslokalen Gruppen (Legacy).

Hinzufügen von Mitgliedern zu einer Gruppe über die Seite „Administratoreinstellungen“ des Arbeitsbereichs

Sie müssen Arbeitsbereichsadministrator sein, um Benutzer, Dienstprinzipale und Gruppen einer Kontogruppe über die Seite „Administratoreinstellungen“ des Arbeitsbereichs hinzufügen zu können. Sie können nur Mitglieder einer Gruppe verwalten, für die Sie über die Gruppenmanagerrolle verfügen. Um externe Gruppen mit der Microsoft Entra ID synchron zu halten, können Sie die Mitgliedschaft in externen Gruppen auf der Seite „Administratoreinstellungen“ im Arbeitsbereich standardmäßig nicht verwalten.

Hinweis

Sie können der Gruppe admins keine untergeordnete Gruppe hinzufügen. Es ist nicht möglich, arbeitsbereichslokale Gruppen oder Systemgruppen als Mitglieder von Kontogruppen hinzuzufügen.

Gruppenmanager*innen, die nicht als Arbeitsbereichsadministrator*innen fungieren, müssen die Gruppenmitgliedschaft mithilfe der Kontogruppen-API verwalten.

1. Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.
2. Wählen Sie Ihren Benutzernamen in der oberen Leiste des Azure Databricks-Arbeitsbereichs und anschließend Einstellungen aus.
3. Klicken Sie auf die Registerkarte Identität und Zugriff.
4. Klicken Sie neben Gruppen auf Verwalten.
5. Wählen Sie die Gruppe aus, die Sie aktualisieren möchten. Sie müssen über die Gruppenmanagerrolle in der Gruppe verfügen, um sie zu aktualisieren.
6. Klicken Sie auf der Registerkarte Mitglieder auf Mitglieder hinzufügen.
7. Suchen Sie im Dialogfeld nach den Benutzern, Dienstprinzipalen und Gruppen, die Sie hinzufügen möchten, und wählen Sie sie aus.
8. Klicken Sie auf Confirm (Bestätigen).

Verwalten von Rollen in einer Kontogruppe über die Seite „Administratoreinstellungen“ des Arbeitsbereichs

Wichtig

Dieses Feature befindet sich in der Public Preview.

Sie können die Rolle Gruppenmanager Benutzern, Kontogruppen und Dienstprinzipalen zuweisen. Gruppenmanager können die Gruppenmitgliedschaft verwalten. Sie können die Rolle „Gruppenmanager“ auch anderen Benutzern zuweisen.

Sie müssen Arbeitsbereichsadministrator sein, um Gruppenrollen über die Seite „Administratoreinstellungen“ des Arbeitsbereichs verwalten zu können. Gruppenmanager*innen, die nicht als Arbeitsbereichsadministrator*innen fungieren, können Gruppenrollen mithilfe der API für die Kontozugriffssteuerung verwalten.

1. Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.

2. Wählen Sie Ihren Benutzernamen in der oberen Leiste des Azure Databricks-Arbeitsbereichs und anschließend Einstellungen aus.

3. Klicken Sie auf die Registerkarte Identität und Zugriff.

4. Klicken Sie neben Gruppen auf Verwalten.

5. Wählen Sie die Gruppe aus, die Sie aktualisieren möchten. Sie müssen über die Gruppenmanagerrolle in der Gruppe verfügen, um sie zu aktualisieren.

6. Klicken Sie auf die Registerkarte Berechtigungen.

7. Klicken Sie auf Zugriff gewähren.

8. Suchen Sie nach dem Benutzer, Dienstprinzipal oder der Gruppe, wählen Sie diese(n) aus, und wählen Sie die Rolle Gruppe: Manager aus.

   Hinweis

   Es ist nicht möglich, arbeitsbereichslokale Gruppen oder Systemgruppen als Rollen für Kontogruppen zuzuweisen.

9. Klicken Sie auf Speichern.

Anzeigen übergeordneter Gruppen

1. Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.
2. Wählen Sie Ihren Benutzernamen in der oberen Leiste des Azure Databricks-Arbeitsbereichs und anschließend Einstellungen aus.
3. Klicken Sie auf die Registerkarte Identität und Zugriff.
4. Klicken Sie neben Gruppen auf Verwalten.
5. Wählen Sie die Gruppe aus, die Sie anzeigen möchten.
6. Zeigen Sie auf der Registerkarte Übergeordnete Gruppe die übergeordneten Gruppen für Ihre Gruppe an.

Entfernen einer Gruppe aus einem Arbeitsbereich mithilfe der Administratoreinstellungen für Arbeitsbereiche

Wenn Sie eine Gruppe aus einem Arbeitsbereich entfernen, wird die Gruppe im Konto nicht gelöscht. Wenn eine Gruppe aus einem Arbeitsbereich entfernt wird, können Gruppenmitglieder nicht mehr auf den Arbeitsbereich zugreifen, die Berechtigungen werden jedoch für die Gruppe verwaltet. Wenn die Gruppe später wieder zum Arbeitsbereich hinzugefügt wird, erhält die Gruppe ihre vorherigen Berechtigungen wieder.

1. Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.
2. Wählen Sie Ihren Benutzernamen in der oberen Leiste des Azure Databricks-Arbeitsbereichs und anschließend Einstellungen aus.
3. Klicken Sie auf die Registerkarte Identität und Zugriff.
4. Klicken Sie neben Gruppen auf Verwalten.
5. Wählen Sie die Gruppe aus, und klicken Sie auf x Löschen
6. Klicken Sie auf Löschen, um den Vorgang zu bestätigen.

Verwalten von Kontogruppen mithilfe der API

Kontoadministrator*innen, Arbeitsbereichsadministrator*innen und Gruppenmanager*innen können mithilfe der Kontogruppen-API Gruppen zum Azure Databricks-Konto hinzufügen, sie löschen und verwalten. Kontoadministrator*innen und Arbeitsbereichsadministrator*innen und Gruppenmanager rufen die API mithilfe einer anderen Endpunkt-URL auf:

• Kontoadministratoren verwenden {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
• Arbeitsbereichsadministratoren und Gruppenmanager verwenden {workspace-domain}/api/2.0/account/scim/v2/.

Weitere Details finden Sie in der Kontogruppen-API.

Zuweisen einer Gruppe zu einem Arbeitsbereich mithilfe der API

Konto- und Arbeitsbereichsadministrator*innen können die Arbeitsbereichszuweisungs-API verwenden, um Arbeitsbereichen, für die der Identitätsverbund aktiviert ist, Gruppen zuzuweisen. Die Arbeitsbereichszuweisungs-API wird über das Azure Databricks-Konto und Azure Databricks-Arbeitsbereiche unterstützt.

• Kontoadministratoren verwenden {account-domain}/api/2.1/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
• Arbeitsbereichsadministratoren verwenden {workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.

Weitere Informationen finden Sie unter Arbeitsbereichszuweisungs-API.

Verwalten von Rollen für eine Gruppe mithilfe der API

Wichtig

Dieses Feature befindet sich in der Public Preview.

Gruppenmanager können Gruppenrollen mithilfe der Access Control-API für Konten verwalten. Kontoadministrator*innen und Arbeitsbereichsadministrator*innen und Gruppenmanager rufen die API mithilfe einer anderen Endpunkt-URL auf:

• Kontoadministratoren verwenden {account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles.
• Arbeitsbereichsadministratoren und Gruppenmanager verwenden {workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles.

Weitere Informationen finden Sie unter API für die Kontozugriffssteuerung und API für den Kontozugriffssteuerungsproxy.