Microsoft Entra ID からユーザーとグループを自動的に同期する
重要
この機能は、パブリック プレビューにあります。 このプレビューに参加するには、Azure Databricks アカウント チームにお問い合わせください。
この記事では、自動 ID 管理を使用して Microsoft Entra ID のユーザー、サービス プリンシパル、およびグループを同期するように Azure Databricks を構成する方法について説明します。
ユーザーとグループを Microsoft Entra ID から自動的に同期する方法
自動 ID 管理を使用して Microsoft Entra ID でアプリケーションを構成しなくても、Microsoft Entra ID のユーザー、サービス プリンシパル、およびグループを Azure Databricks に追加できます。 自動 ID 管理が有効になっている場合は、Microsoft Entra ID ユーザー、サービス プリンシパル、およびグループを ID フェデレーション ワークスペースで直接検索し、ワークスペースに追加できます。 Databricks はレコードのソースとして Microsoft Entra ID を使用するため、グループ メンバーシップに対する変更は Azure Databricks で尊重されます。
Microsoft Entra ID の状態から削除されたユーザーは、Azure Databricks で Deactivated として表示されます。 非アクティブ化されたユーザーは、Azure Databricks にログインすることも、Azure Databricks API に対して認証することもできません。 セキュリティのベスト プラクティスとして、これらのユーザーの個人用アクセス トークンを取り消することをお勧めします。
ワークスペース
ユーザーは、Microsoft Entra ID の任意のユーザー、サービス プリンシパル、またはグループとダッシュボードを共有することもできます。 これらのユーザーは、ログイン時に Azure Databricks アカウントに自動的に追加されます。 これらは、ダッシュボードが存在するワークスペースにメンバーとして追加されません。 ワークスペースにアクセスできない Microsoft Entra ID のメンバーには、資格情報が埋め込まれたダッシュボードの表示専用コピーへのアクセス権が付与されます。 ダッシュボード共有の詳細については、「ダッシュボードを共有する」を参照してください。
ID 以外のフェデレーション ワークスペースでは、自動 ID 管理はサポートされていません。 ID フェデレーションの詳細については、「ID フェデレーションを有効にする」を参照してください。
自動 ID 管理と SCIM プロビジョニング
自動 ID 管理を有効にすると、すべてのユーザー、グループ、およびグループ メンバーシップが Microsoft Entra ID から Azure Databricks に同期されるため、SCIM プロビジョニングは必要ありません。 SCIM エンタープライズ アプリケーションを並列で実行し続ける場合、SCIM アプリケーションは Microsoft Entra ID エンタープライズ アプリケーションで構成されたユーザーとグループを引き続き管理します。 SCIM provisoning を使用して追加されなかった Microsoft Entra ID ID は管理されません。
Databricks では、自動 ID 管理を使用することをお勧めします。 次の表は、自動 ID 管理の機能と SCIM プロビジョニングの機能を比較しています。
| 特徴 | ID の自動管理 | SCIM プロビジョニング |
|---|---|---|
| ユーザーの同期 | ✓ | ✓ |
| 同期グループ | ✓ | ✓ (直接メンバーのみ) |
| 入れ子になったグループを同期する | ✓ | |
| サービス プリンシパルを同期する | ✓ | |
| Microsoft Entra ID アプリケーションの構成と管理 | ✓ | |
| Microsoft Entra ID Premium エディションが必要です | ✓ | |
| Microsoft Entra ID クラウド アプリケーション管理者ロールが必要です | ✓ | |
| ID フェデレーションが必要 | ✓ |
手記
パブリック プレビュー中、入れ子になったグループは Azure Databricks UI に表示されません。 パブリック プレビュー 中の自動 ID 管理 UI の制限を参照してください。
ID の自動管理を有効にする
自動 ID 管理を有効にするには、Azure Databricks アカウント チームにお問い合わせください。 アカウントを有効にした後、Microsoft Entra ID からユーザー、サービス プリンシパル、およびグループを追加および削除するには、次の手順に従います。
- アカウント のユーザーを管理する
- アカウントのサービス プリンシパルを管理する
- アカウント コンソールの を使用してアカウントにグループを追加する
自動 ID 管理が有効になっている場合、アカウント管理者は [プレビュー] ページを使用して無効にすることができます。
- アカウント管理者として、アカウント コンソールにログインします。
- サイドバーで、プレビューをクリックします。
- 自動 ID 管理を [オフ] に切り替えます。
無効にすると、以前にプロビジョニングされたユーザー、サービス プリンシパル、およびグループは Azure Databricks に残りますが、Microsoft Entra ID と同期されなくなります。 これらのユーザーは、アカウント コンソールで削除または非アクティブ化できます。
ユーザー ログインの監査
system.access.audit テーブルに対してクエリを実行して、ワークスペースにログインしたユーザーを監査できます。 例えば:
SELECT
DISTINCT user_identity.email
FROM
system.access.audit
WHERE
action_name = "aadBrowserLogin"
system.access.audit テーブルの詳細については、「監査ログ システム テーブルリファレンス を参照してください。
パブリック プレビュー中の自動 ID 管理 UI の制限
ユーザーの詳細ページは、ユーザーがログインするまで Azure Databricks ワークスペース UI では使用できません。
ユーザーが自動 ID 管理を使用してワークスペースに追加されると、ログインするまで、ソース列は "External" ではなく "Databricks" として表示されます。
ユーザー、サービス プリンシパル、およびグループの詳細ページは、グループ メンバーシップを介してワークスペースに間接的に割り当てられている場合、Azure Databricks ワークスペース UI では使用できません。
ユーザー、サービス プリンシパル、またはグループが自動 ID 管理を使用して Azure Databricks に追加され、Azure Databricks または SCIM プロビジョニングなどの別の方法にも追加された場合は、2 回表示され、1 つの一覧が非アクティブとして表示される可能性があります。 ユーザーは非アクティブではなく、Azure Databricks にログインできます。
手記
この場合、Azure Databricks で外部 ID を指定することで、重複するユーザー、サービス プリンシパル、およびグループをマージできます。 アカウント ユーザー、アカウント サービス プリンシパル、または アカウント グループ API を使用して、
externalIdフィールドに Microsoft Entra ID objectId を追加するようにプリンシパルを更新します。子グループの詳細ページは、Azure Databricks ワークスペース UI では使用できません。
アカウント コンソール UI を使用して、Microsoft Entra ID ユーザー、サービス プリンシパル、およびグループをアカウント コンソールに直接追加することはできません。 ただし、Azure Databricks ワークスペースに追加される Microsoft Entra ID ID は、アカウントに自動的に追加されます。