Verwalten der mobilen Genie-App

Important

Dieses Feature befindet sich in der Public Preview.

Diese Seite richtet sich an IT- und Sicherheitsteams, die sich darauf vorbereiten, die mobile Azure Databricks Genie-App in ihrer Organisation bereitzustellen. Es behandelt das Sicherheitsmodell, die empfohlene Konfiguration und den Bereitstellungsprozess.

Wie die mobile Genie-App Daten sicher hält

Die mobile Genie-App umgeht keine vorhandene Azure Databricks Governance. Benutzer erben dieselben Datenberechtigungen und Zugriffssteuerelemente wie in der Webversion von Azure Databricks.

Identität und Zugriff

  • Der Zugriff auf Genie One ist auf den Arbeitsbereich beschränkt, und die Daten werden durch Unity Catalog verwaltet. Benutzer sehen nur Arbeitsbereiche, auf die sie mindestens Verbraucherzugriff haben. Die Sicherheit auf Zeilenebene und Spaltenebene wird weiterhin angewendet. Siehe Was ist der Verbraucherzugriff?.
  • Das Aktivieren der Vorschau auf Kontoebene gewährt keinem Benutzerzugriff. Es erlaubt nur der offiziellen App, sich bei Ihrem Konto zu authentifizieren. Mitgliedschaften und Berechtigungen stammen weiterhin aus Ihrem vorhandenen Benutzerverwaltungsprozess.
  • Die App verwendet denselben OAuth-Client und -Fluss wie ein Browser. Sie benötigen keine separate IdP-Anwendungsregistrierung. Siehe Authentifizierung und Zugriffssteuerung.
  • Die App verwendet den gleichen Authentifizierungsfluss wie die Weboberfläche. Es handelt sich um einen OAuth-Client eines Erstanbieters, der sich über login.databricks.com mit Microsoft Entra ID anmeldet. Vorhandene MFA-, bedingte Zugriffs- und Gerätestatusrichtlinien gelten weiterhin.

Geräteschutz

  • Token werden mit automatischer Drehung verschlüsselt. Nur das authentifizierte Gerät kann auf Genie One zugreifen.
  • Die Authentifizierung verwendet Microsoft Entra ID, einschließlich SSO und Faktoren wie Biometrie (Gesicht oder Fingerabdruck).

Netzwerk und Infrastruktur

Die Genie-App verwendet keine separate mobile Datenebene:

  • Die App verwendet HTTPS, um dieselben Arbeitsbereichs- und Konto-URLs wie ein Browser zu erreichen. Es gibt weder Endpunkte, die ausschließlich für Mobilgeräte bestimmt sind, noch APIs ohne Authentifizierung.
  • Vorhandene Netzwerk- und DLP-Kontrollen gelten weiterhin, einschließlich IP-Zugriffslisten, kontextbasiertem Eingangsverkehr, Private Link, mobilem VPN und gerätebasiertem DLP.
  • Genie Mobile unterstützt Arbeitsbereiche mit aktiviertem Compliance-Sicherheitsprofil. Daten in Arbeitsbereichen mit Sicherheitsprofilen für die Compliance werden weder verschoben noch verlassen sie die Region, entsprechend dem Zugriff über den Webbrowser.

Empfehlungen für die Basiskonfiguration

Wenden Sie beim Bereitstellen der Genie-App die folgenden grundlegenden Sicherheitskontrollen an. Wenn die mobile Strategie Ihrer Organisation restriktiver ist, implementieren Sie die strengeren Kontrollen.

Steuerung Empfohlene Basislinie
Identity SSO mit MFA
Netzwerkeingang IP-Zugriffslisten für den Arbeitsbereich aktiviert. Eine konfigurierte Methode, z. B. VPN, für Geräte, die über eine zulässige IP-Adresse verbunden werden sollen.
Steuerelemente des Arbeitsbereichs Genie Mobile auf Kontoebene aktiviert. Stellen Sie bei Verwendung eines VPN sicher, dass die VPN-IPs in jedem Arbeitsbereich zulässig sind.
Gerätestatus Implementieren Sie Gerätestatusprüfungen, die mit Ihrer mobilen Strategie konsistent sind.
App-Verteilung Öffentliche Store-Installation (App Store oder Google Play).

Hinweis

Per-App-VPN ermöglicht die stärkste Netzwerkkontrolle, da nur der Datenverkehr der Genie-App den Arbeitsbereich erreicht. Das VPN muss sowohl login.databricks.com als auch den Host Ihres Arbeitsbereichs umfassen.

IP-Zugriffslisten auf Kontoebene werden derzeit nicht unterstützt. Verwenden Sie IP-Zugriffslisten auf Arbeitsbereichsebene, um den mobilen Zugriff zu steuern.

Verstehen Ihrer Umgebung

Arbeitsbereichskonfiguration

Bevor Sie die mobile Genie-App aktivieren, überprüfen Sie die folgenden Arbeitsbereichseinstellungen:

  • Featureaktivierung: Vergewissern Sie sich, dass die Vorschau aktiviert ist, bevor sie für Benutzer bereitgestellt wird. Siehe Aktivieren der App.
  • IP-Zugriffslisten: Wenn Ihr Arbeitsbereich IP-Zugriffslisten verwendet, müssen die IP-Adressen mobiler Benutzer in der Liste enthalten sein. Dies erfordert in der Regel ein VPN.

Netzwerkzugriff

Wenn Ihr Arbeitsbereich über eine IP-Zugriffsliste verfügt, müssen mobile Geräte über eine zulässige IP-Adresse eine Verbindung herstellen. Ein VPN ist die am häufigsten verwendete Lösung.

App-spezifisches VPN gewährleistet die stärkste Isolation: nur der Datenverkehr der Genie-App wird über das VPN geleitet. Das App-VPN muss sowohl login.databricks.com als auch den Host des Arbeitsbereichs abdecken.

Wenn Auf Ihren Arbeitsbereich nur über Private Link mit blockiertem öffentlichem Ausgang zugegriffen werden kann, benötigen mobile Geräte einen Netzwerkpfad, der innerhalb des privaten Netzwerks beendet wird. Zu den üblichen Mustern gehören:

  • Ein mobiles VPN, das lokal betrieben wird oder in einer per Peering mit dem Workspace-Netzwerk verbundenen VPC endet.
  • ExpressRoute, Direct Connect oder Interconnect mit einem Breakout für Mobilfunknetze über ein Unternehmensgateway und Private Link.

Weitere Informationen finden Sie unter "Benutzer zum Azure Databricks Networking".

Auf iOS verwendet die Genie-App Apple Universal Links, um Links zu /one/* auf Workspace-Hosts und zu /mobile-redirect auf login.databricks.com abzufangen. Apple überprüft dies, indem Apple beim ersten Erkennen dieser Domain https://<host>/.well-known/apple-app-site-association von jedem Host abruft.

Wenn Ihr Netzwerk diesen Pfad blockiert (z. B. über einen Proxy, der nicht authentifizierte Anfragen herausfiltert), fällt das Abfangen von Universal Links stillschweigend darauf zurück, die Arbeitsbereichs-URL in Safari statt in der App zu öffnen, und der OAuth-Rückruf an /mobile-redirect führt den Benutzer nicht zur App zurück. Stellen Sie sicher, dass dieser Pfad beim ersten Start der App über das aktive Netzwerk des Geräts erreichbar ist.

VPN pro App unter iOS

Die Anmeldeumleitung unter iOS wird im Systembrowser geöffnet, nicht innerhalb der App. Ein vpn pro App, das nur für die Genie-App vorgesehen ist, deckt nicht das Anmeldefenster ab. So vermeiden Sie Anmeldefehler:

  • Abdeckung login.databricks.com im geräteweiten VPN oder im VPN pro App des Systembrowsers und der Genie-App.
  • Verwenden Sie einen ZTNA- oder Gerätetunnel-Status, der stets login.databricks.com und Workspace-Hosts abdeckt, unabhängig davon, welche App den Datenfluss initiiert hat.

Nicht unterstützt

  • Kontextbasierter Ingress: Der mobile Pfad von Genie One wendet derzeit keine kontextbasierten Ingress-Richtlinien auf Kontoebene an. Wenn Sie sich stattdessen auf kontextbasierten Ingress als Alternative zu IP/VPN verlassen, steuern Sie den Zugriff mobiler Benutzer stattdessen über die IP-Zugriffsliste des Arbeitsbereichs.
  • TLS-Inspektion: Die App pint keine Zertifikate an. TLS-Überprüfungsproxys, die ein vom Gerät vertrauenswürdiges Unternehmensstammzertifikat darstellen, funktionieren, sofern Ihr MDM den Unternehmensstamm über den Standardmechanismus (Apple Configuration Profile oder Android-Gerätezertifikatspeicher) an das Gerät übermittelt. Das Anheften von Zertifikaten kann vor der allgemeinen Verfügbarkeit hinzugefügt werden.

Bereitstellungsprozess

Führen Sie die folgenden allgemeinen Schritte aus, um die mobile Genie-App zu nutzen:

  1. Bereiten Sie Ihren Arbeitsbereich vor. Stellen Sie sicher, dass Genie Mobile auf Kontoebene aktiviert ist. Identifizieren Sie die Arbeitsbereiche, deren Benutzer Sie auf mobilgeräten zulassen möchten. Aktualisieren Sie Arbeitsbereich-IP-Zugriffslisten mit VPN-Ausgangs-IPs, wenn Sie ein VPN verwenden.
  2. Legen Sie den Netzwerkstatus fest. Für die meisten Unternehmen ist dies ein VPN oder Gerätetunnel pro App. Aktualisieren Sie sie so, dass sie login.databricks.com und Ihre Arbeitsbereichsdomänen enthält. Überprüfen Sie, ob mobile Geräte auf den Arbeitsbereich zugreifen können.
  3. Aktualisieren sie Microsoft Entra ID Richtlinien. Stellen Sie sicher, dass Ihre Richtlinie für Mobilgeräte die Authentifizierung für Ihren Arbeitsbereich ermöglicht und die Anforderungen an den Gerätezustand durchsetzt.
  4. Stellen Sie die App bereit. Die App ist über den Apple App Store und Google Play verfügbar. Wenn Sie ein MDM verwenden, fügen Sie com.databricks.one.mobile Ihrem MDM-Katalog als verwaltete iOS-Store-App oder verwaltete Google-Play-App hinzu und weisen Sie sie Zielgerätegruppen zu.
  5. Führen Sie ein Pilotprojekt mit einer kleinen Gruppe von Nutzern durch. Führen Sie Benutzer durch app-Installation, VPN-Setup, Anmeldung und Öffnen eines Genie-Raums. Dokumentieren Sie alle Fehler in der Seed-Helpdesk-Dokumentation.
  6. Breit einführen. Kommunizieren Sie den Installationsprozess und alle VPN-Anforderungen an Benutzer über Ihre IT-Kommunikationskanäle.

IP-Zugriffslisten

Fügen Sie die Ausgangs-IPs der mobilen Netzwerkgeräte zur IP-Zugriffsliste auf Arbeitsbereichsebene hinzu. IP-Zugriffslisten auf Kontoebene werden im mobilen Anmeldepfad derzeit nicht durchgesetzt.

Siehe Konfigurieren von IP-Zugriffslisten für Arbeitsbereiche.

VPN- und Netzwerkreichbarkeit

Wenn Ihr Arbeitsbereich nur über Private Link, PrivateLink oder Private Service Connect erreichbar ist, konfigurieren Sie ein mobiles VPN, das sowohl login.databricks.com als auch den Host des Arbeitsbereichs abdeckt.

Identitätsanbieterrichtlinie

Fügen Sie die mobile Genie-App als zulässiger Client in Microsoft Entra ID mit SSO, bedingtem Zugriff, MFA und Gerätehaltungsregeln hinzu, die ihrer mobilen Strategie entsprechen.

Mobile Geräteverwaltung (MDM)

Note

Die mobile Genie-App integriert derzeit kein MAM-SDK (Mobile Application Management).

Informationen zur Bereitstellung über MDM finden Sie in der Dokumentation Ihres MDM-Anbieters:

  • Last updated on