共用方式為

儀表板管理指南

  • 發行項

本文說明可套用至 AI/BI 儀表板之帳戶和工作區層級的系統管理控制件。

儀表板共用

即使用戶沒有原始工作區的存取權,內嵌認證的已發佈儀錶板也可以安全地與帳戶中的使用者和群組共用。 使用者必須註冊至您的 Azure Databricks 帳戶,但不需要存取任何其他資源或新增至工作區。

若要深入瞭解已發佈的儀錶板和內嵌認證,請參閱 發佈儀錶板

網路考量

如果已設定IP存取清單,則只有在使用者從核准的IP範圍內存取它們時,才能存取儀表板,例如使用 VPN 時。 這適用於所有使用者,無論他們是否指派給工作區。 如需進行設定存取權的詳細資訊,請參閱 管理IP存取清單

儀表板共用的使用者和群組管理

向 Azure Databricks 註冊的所有使用者都屬於您的 Azure Databricks 帳戶。 在 Azure Databricks 帳戶中註冊使用者,會建立 Azure Databricks 可在該使用者檢視共用儀錶板時用於驗證的可驗證身分識別。 將個別用戶組織成群組,可讓儀表板作者和編輯器更容易共用。 例如,作者可以與單一具名群組共用,而不是與帳戶中的每個使用者共用。

使用者也可以使用自動身分識別管理,與Microsoft Entra ID 中的任何使用者、服務主體或群組共用儀錶板(公開預覽)。 這些使用者會在登入時自動新增至 Azure Databricks 帳戶。 它們不會被新增至儀錶板所在的工作區。 如需詳細資訊,請參閱 從 Microsoft Entra ID自動同步使用者和群組。

儀表板是由具有 Databricks SQL 存取權的工作區成員所建立。 使用者和群組可以存取零、一或多個工作區。 工作區使用者也可以獲授與存取計算資源的權限,讓他們在儀表板上建立和共同作業等。

在共用儀錶板時,作者可以將使用者和群組新增至 具有存取權的 人員清單,以指派特定許可權,類似於針對其他工作區物件所做的操作。 此外,他們可以使用下列其中一個選項來設定 共用設定

  • 只有具有存取權的人員才能檢視
  • 我的帳戶中的任何人都可以檢視

如果儀錶板是以內嵌認證發佈,並與帳戶中的特定使用者、群組或所有用戶共用,則不論他們是否有權存取原始工作區,這些使用者都可以存取它。

下圖顯示工作區和帳戶層級的使用者和群組之間的關聯性。

具有儀表板共用的帳戶層級 SCIM 圖表

除了帳戶註冊之外,不需要額外的設定。 使用者不需要指派給工作區或提供計算資源的存取權。

管理儀表板內嵌

至少擁有 CAN EDIT 權限的儀表板使用者可透過 [共用] 對話框生成 iframe 嵌入代碼。 工作區管理員可以管理哪些網域,如果有的話,已核准用來裝載內嵌儀表板。

工作區系統管理員設定會開啟至內嵌儀表板標題。

若要設定定義儀錶板可內嵌之網域的原則,請執行下列動作:

  1. 在 Azure Databricks 工作區頂端列中點擊您的使用者名稱,然後選取 [設定]。

  2. 按一下安全性

  3. 向下捲動至外部存取章節。

  4. 嵌入式儀表板 區段中,使用下拉選單來設定工作區的政策。

    您有三個原則選項:

    • 允許:儀表板可以內嵌在任何網域中。
    • 允許核准的網域:儀錶板只能內嵌在符合核准清單的網站中。
    • 拒絕:儀錶板無法內嵌在任何網域中。

如果您選取 [[允許核准的網域],您可以執行下列動作,使用本節來管理核准的網域清單:

  1. 按一下內嵌儀表板旁的管理
  2. 核准網域對話框的文字欄位中輸入網域。 按一下在每個項目之後新增網域
  3. 按一下儲存

定義已核准網域和路由的秘訣

若要指定允許的主機,請使用 W3C 的內容安全原則檔案中定義的文法。 本節中的範例說明一些常見的模式。

允許子域名

若要允許指定網域的所有子域,請在功能變數名稱之前使用通配符符號 (*)。 下列範例使用 *.databricks.com 作為範例網域。

  • 符合: 任何子域
    • some.databricks.com
    • app.databricks.com
    • anything.databricks.com
  • 不相符: 具有不同網域的任何專案。
    • another-databricks.com
    • app-databricks.com

允許特定 URL 路徑

若要允許基底 URL 下的所有頁面,請使用尾端斜線 (/) 來代表根目錄。 子目錄和其他路徑將會相符。

下列範例使用 sites.google.com/some/path/ 作為範例提供的路徑。

  • 匹配項目:sites.google.com/some/path/to/my/dashboardsites.google.com/some/path/any-page
  • 不相符:
    • sites.google.com/some/path。 此範例缺少尾端斜線,因此是不同的 URL。
    • sites.google.com/some/other/path/to/my/dashboard。 這個範例不會共用相同的基底路徑。

注意

沒有結尾斜線的 URL 會被視為完全符合,而且不包含子路徑。

工作區管理員訂用帳戶控件

工作區管理員可以防止使用者使用訂用帳戶散發儀表板。 變更此設定可防止所有使用者將電子郵件訂閱者新增至排程的儀表板。 儀表板編輯器無法新增訂閱者,而且儀表板查看器沒有訂閱排程儀表板的選項。

若要防止共用電子郵件更新:

  1. 在 Azure Databricks 工作區頂端列中點擊您的使用者名稱,然後選取 [設定]。
  2. 設定提要欄位中,按一下通知
  3. 關閉啟用儀表板電子郵件訂閱選項。

如果此設定關閉,則會暫停現有的訂用帳戶,而且沒有人可以修改現有的訂用帳戶清單。 如果切換回此設定,訂閱會繼續使用現有的清單。

工作區系統管理員下載控制件

工作區管理員可以調整其安全性設定,以防止使用者使用下列步驟下載結果:

  1. 在 Azure Databricks 工作區頂端列中點擊您的使用者名稱,然後選取 [設定]。
  2. 設定側邊欄中,按一下安全性
  3. 關閉 SQL 結果下載選項。

轉移儀表板的擁有權

工作區管理員可以將儀表板的擁有權轉移給不同的使用者。

  1. 移至儀錶板清單。 按一下要編輯的儀表板名稱。
  2. 按一下共用
  3. 齒輪圖示 按一下共用對話框右上方的圖示。 使用齒輪圖示共用對話框
  4. 開始輸入要搜尋的使用者名稱,然後選取新的擁有者。
  5. 按一下確認

新的擁有者會出現在可管理權限的共用對話框中。 若要檢視擁有者列出的儀錶板,請單擊 儀錶板圖示儀錶板,移至可用的儀錶板清單。

監視儀表板活動

系統管理員可以使用稽核記錄監視儀表板上的活動。 請參閱 AI/BI 儀錶板事件。 如需示範如何存取稽核記錄資訊以回答草稿、已發佈和內嵌儀錶板的常見問題的程式代碼範例,請參閱 使用稽核記錄監視儀錶板使用量。