ID の自動管理

自動 ID 管理を使用すると、ユーザー、サービス プリンシパル、グループをMicrosoft Entra IDからAzure Databricksにシームレスに追加できます。 自動 ID 管理が有効になっている場合は、ID フェデレーション ワークスペースでユーザー、サービス プリンシパル、グループを直接検索し、ワークスペースに追加できます。 Azure DatabricksはレコードのソースとしてMicrosoft Entra IDを使用するため、グループ メンバーシップに対する変更はAzure Databricksで考慮されます。

自動 ID 管理は、2025 年 8 月 1 日以降に作成されたアカウントに対して既定で有効になっています。

ワークスペースAdd MS Entra ID group from workspaceAdd MS Entra ID group from workspaceから MS Entra ID グループを追加

ユーザーは、ID プロバイダー内の任意のユーザー、サービス プリンシパル、またはグループとダッシュボードを共有することもできます。 共有されると、それらのユーザー、サービス プリンシパル、およびグループのメンバーは、ログイン時に Azure Databricks アカウントに自動的に追加されます。 これらは、ダッシュボードが存在するワークスペースにメンバーとして追加されません。 ワークスペースへのアクセス権を持たないユーザーには、共有データアクセス許可で発行されたダッシュボードの表示専用コピーへのアクセス権が付与されます。 ダッシュボード共有の詳細については、「 ダッシュボードの共有」を参照してください。

Just-In-Time (JIT) プロビジョニングは、自動 ID 管理が有効になっているときに常に有効になり、オフにすることはできません。 新しいユーザーは、最初のログイン時にAzure Databricksに自動的にプロビジョニングされます。 「 ユーザーの自動プロビジョニング (JIT)」を参照してください。

ID 以外のフェデレーション ワークスペースでは、自動 ID 管理はサポートされていません。 ID フェデレーションの詳細については、「ID フェデレーション」 参照してください。

ユーザー、サービス プリンシパル、およびグループの状態

自動 ID 管理を有効にすると、Microsoft Entra ID のユーザー、サービス プリンシパル、およびグループが、アカウント コンソールとワークスペース管理者設定ページに表示されます。 その状態は、Microsoft Entra ID と Azure Databricks 間のアクティビティと状態を反映しています。

Status Meaning
非アクティブ: 使用なし ユーザーとサービス プリンシパルの場合: まだAzure Databricksにログインしていない ID プロバイダーの ID。
グループの場合: グループはワークスペースに追加されていません。
アクティブ ID は Azure Databricks でアクティブです。
アクティブ: [IdP] から削除 以前はAzure Databricksでアクティブであり、ID プロバイダーから削除されています。 Azure Databricks は、次の ID 同期中にこれらのユーザーを自動的に非アクティブ化します。API にログインまたは認証できません。
無効化済み ID は ID プロバイダーで非アクティブ化されているか、ID プロバイダーから削除された後に Azure Databricks によって自動的に非アクティブ化されています。 API にログインまたは認証できません。
拒否する ID がアカウント アクセス拒否リストに追加されました。 Azure Databricksは、ID を非アクティブに設定します。 ログインしたり、個人用アクセス トークンを使用したり、共有ダイアログに表示したりすることはできません。 アカウントへの ID アクセスの拒否を参照してください

Active: Removed From [IdP] 状態ラベルには、お使いの ID プロバイダの名前が表示されます。 たとえば、 Active: EntraID から削除されます

Tip

セキュリティのベスト プラクティスとして、Databricks では、無効化および アクティブ: [IdP] から削除済みのユーザーの個人用アクセス トークンを取り消すことを推奨しています。 ユーザーが ID プロバイダーから削除されると、Azure Databricksは自動的にアカウントを非アクティブ化しますが、トークンを自動的に取り消すことはありません。

自動 ID 管理を使用して管理される ID は、Azure Databricks では 外部 として表示されます。 Azure Databricks UI を使用して外部 ID を更新することはできません。

共有とアクセス許可の割り当て

自動 ID 管理が有効になっている場合は、Azure Databricks全体でアクセス許可を共有または割り当てるときに、Microsoft Entra IDからユーザーとサービス プリンシパルを選択できます。

グループの場合、共有動作は資産の種類によって異なります。

  • アカウント レベルの資産: グループは、Databricks Apps、Unity カタログ オブジェクト、AI/BI ダッシュボード、Genie エージェント、ワークスペースの割り当てなど、アカウント レベルの資産にアクセス許可を共有または割り当てるときに使用できます。
  • ワークスペース レベルの資産: ワークスペース レベルの資産 (ノートブック、ジョブ、SQL ウェアハウス、アラート、ファイルなど) をグループと共有するには、まずワークスペース管理者がグループをワークスペースに直接追加する必要があります。

自動 ID 管理と SCIM プロビジョニング

自動 ID 管理を有効にすると、すべてのユーザー、グループ、およびグループ メンバーシップが ID プロバイダーからAzure Databricksに同期されるため、SCIM プロビジョニングは必要ありません。 SCIM プロビジョニングを並列で実行し続ける場合、SCIM は SCIM プロビジョニングを使用して追加された ID を引き続き管理します。 SCIM プロビジョニングを使用して追加されなかった ID は管理されません。

SCIM プロビジョニングには、クラウド アプリケーション管理者ロールと個別の Microsoft Entra ID アプリケーションが必要です。

Azure Databricksでは、自動 ID 管理を使用することをお勧めします。 次の表は、自動 ID 管理の機能と SCIM プロビジョニングの機能を比較しています。

特徴 ID の自動管理 SCIM プロビジョニング
ユーザーの同期
同期グループ
(直接メンバーのみ)
入れ子になったグループを同期する
サービス プリンシパルを同期する
Azure Databricks 内で既定で使用可能
すべての Microsoft Entra ID エディションで動作します
Microsoft Entra ID 管理者ロールなしで使用可能
ID フェデレーションが必要

Azure Databricks の外部 ID と Microsoft Entra ID オブジェクト ID

Azure Databricks は、ID とグループ メンバーシップを同期するための権限のあるリンクとして Microsoft Entra ID ObjectIdを使用し、毎日の定期的なフローのexternalIdに合わせてObjectId フィールドを自動的に更新します。 Databricks では、プロビジョニング方法を混在させないことをお勧めします。 自動 ID 管理と SCIM プロビジョニングの両方を通じて同じ ID を追加すると、エントリとアクセス許可の競合が重複します。 Microsoft Entra ID をミラーリングするグループ メンバーシップを使用して、信頼の単一ソースとして自動 ID 管理を使用します。

これらの重複する ID は、Azure Databricks で外部 ID を指定することでマージできます。 アカウント ユーザーアカウント サービス プリンシパル、またはアカウント グループ API を使用してプリンシパルを更新し、objectId フィールドに Microsoft Entra ID externalIdを追加します。

externalIdは時間の経過と同時に更新される可能性があるため、Azure DatabricksexternalId フィールドに依存するカスタム ワークフローを使用しないことを強くお勧めします。

グループ メンバーシップの同期のしくみ

自動 ID 管理が有効になっている場合、Azure Databricksは、認証と承認のチェックをトリガーするアクティビティ (ブラウザーログイン、トークン認証、ジョブの実行など) の間に、ID プロバイダーからのユーザー グループ メンバーシップを更新します。 これにより、Azure Databricksのグループベースのアクセス許可は、ID プロバイダーで行われた変更と同期されます。

Azure Databricks がグループ メンバーシップを更新すると、お使いの ID プロバイダーから、入れ子になったグループを含む間接的なグループ メンバーシップを取得します。 つまり、ユーザーがグループ A のメンバーであり、グループ A がグループ B のメンバーである場合、Azure Databricks はそのユーザーを両方のグループのメンバーシップを持つものとして認識します。 Azure Databricks では、Azure Databricks に追加されたグループのメンバーシップのみがフェッチされます。 ID プロバイダーからの完全な親グループ階層は同期または再構築されません。

Azure Databricks は、アクティビティに応じてさまざまなスケジュールでグループ メンバーシップを更新します。

  • ブラウザー ログイン: 前回の同期から 5 分を超えた場合にグループ メンバーシップが同期される
  • その他のアクティビティ (トークン認証、実行中のジョブなど): グループ メンバーシップは、前回の同期から 40 分を超えた場合に同期されます

入れ子になったグループとサービス プリンシパル

自動 ID 管理が有効になっている場合、入れ子になったグループのメンバーは、プロビジョニングされたグループからアクセス許可を継承します。 親グループに割り当てられたアクセス許可は、グループに直接追加されたものや、入れ子になったグループ メンバーシップを介して属しているユーザーを含め、グループに属しているすべてのユーザーとサービス プリンシパルに適用されます。 ただし、グループ内の入れ子になったグループとサービス プリンシパルは、ダッシュボード共有を除き、アカウントで自動的に参照することはできません。

入れ子になったグループの可視性

入れ子になったグループは、Azure Databricks に表示されます。 子グループ Group-C は親グループ Group-P のメンバーです。 ワークスペースに Group-P を追加すると、 Group-PGroup-C の両方のすべての ID がワークスペースにアクセスできます。 アカウント管理者とワークスペース管理者 UI では、 Group-C はグループ メンバーの詳細ページの Group-P 内のメンバーとして表示されます。 グループの詳細ページには、ネスト構造の最初のレベルのみが表示されます。

入れ子になったグループに関する考慮事項

  • ワークスペース アクセス: 入れ子グループやサービス プリンシパルは、ワークスペースに直接追加されなくてもアクセスできます。 親グループがワークスペースに追加された場合、そのグループのすべてのメンバーがワークスペースにアクセスできます。
  • アカウント レベルの資産: グループは、Databricks Apps、Unity カタログ オブジェクト、AI/BI ダッシュボード、Genie エージェント、ワークスペースの割り当てなど、アカウント レベルの資産にアクセス許可を共有または割り当てるときに使用できます。
  • アカウント グループとサービス プリンシパルの制限: アカウントに直接プロビジョニングされていない入れ子になったグループとサービス プリンシパルは、アカウント グループの制限にはカウントされません。 アカウントに明示的に設定されたグループのみが制限に含まれます。

たとえば、Microsoft Entra ID では、次のグループ構造があります。

  • Marketing-All (親グループ)
    • Marketing-US (子グループ)
    • Marketing-EU (子グループ)
    • Marketing-APAC (子グループ)

ワークスペース管理者がワークスペースに Marketing-All を追加する場合:

  • アクセス許可: Marketing-All のすべてのメンバーとそのすべての子グループ (Marketing-USMarketing-EUMarketing-APAC) はワークスペースにアクセスできます。 たとえば、 Marketing-APAC のユーザーとサービス プリンシパルは、ワークスペースを認証して使用できます。
  • アカウントのプロビジョニング: Marketing-All のみが Azure Databricks アカウントにプロビジョニングされ、アカウント グループの制限にカウントされます。 子グループは、明示的にプロビジョニングしない限り、制限の対象には含まれません。
  • アカウント レベルの資産: Marketing-All とそのすべての子グループ (Marketing-USMarketing-EUMarketing-APAC) は、Unity カタログのダッシュボードやオブジェクトなどのアカウント レベルの資産を共有または割り当てるときに使用できます。

ID の自動管理を有効にする

自動 ID 管理は、2025 年 8 月 1 日以降に作成されたアカウントに対して既定で有効になっています。 アカウント管理者は、アカウント コンソールで自動 ID 管理を有効にすることができます。

  1. アカウント管理者として、アカウント コンソールにログインします。

  2. サイドバーで[ セキュリティ]をクリックします。

  3. [ ユーザー プロビジョニング ] タブで、[ 自動 ID 管理 ] を [有効] に切り替えます。

    変更が有効になるまでに 5 ~ 10 分かかります。

アカウントで自動 ID 管理を有効にしました。

アカウントを有効にした後、ID プロバイダーからユーザー、サービス プリンシパル、グループを追加および削除するには、次の手順に従います。

SCIM プロビジョニングから移行するには、「Microsoft Entra IDを使用した自動 ID 管理への移行」を参照してください。

ID の自動管理を無効にする

自動 ID 管理が無効になっている場合:

  • ユーザーとサービス プリンシパルは残ります。アクセスは保持されますが、ID プロバイダーと同期されなくなります。 自動 ID 管理を無効にした後、アカウント コンソールでユーザーとサービス プリンシパルを手動で削除または非アクティブ化できます。
  • グループはメンバーシップを失います。グループは Azure Databricks に残りますが、すべてのグループ メンバーは削除されます。
  • ID プロバイダーとの同期なし: ID プロバイダーの変更 (ユーザーの削除やグループの更新など) は、Azure Databricksには反映されません。
  • アクセス許可の継承なし: 自動 ID 管理によって管理されているユーザーは、親グループからアクセス許可を継承できません。 これは、入れ子になったグループ ベースのアクセス許可モデルに影響します。

自動 ID 管理を無効にする予定の場合、Databricks では、フォールバックとして事前に SCIM プロビジョニングを設定することをお勧めします。 その後、SCIM は ID とグループの同期を引き継ぐ可能性があります。

  1. アカウント管理者として、アカウント コンソールにログインします。
  2. サイドバーで[ セキュリティ]をクリックします。
  3. [ ユーザー プロビジョニング ] タブで、[ 自動 ID 管理 ] を [無効] に切り替えます。

アカウントへの ID アクセスを拒否する

アカウント アクセス拒否リストは、ID プロバイダーからAzure Databricks アカウントへのアクセスを許可される ID を制御します。 アカウント管理者は、特定のユーザー、グループ、またはサービス プリンシパルを拒否リストに追加して、アクセスをブロックできます。 Denylist メンバーシップは推移的です。グループを拒否すると、入れ子になったグループのメンバーを含むすべてのメンバーも拒否されます。

構成手順と拒否リストの動作の詳細については、「 アカウントへの ID アクセスの拒否」を参照してください。

自動 ID 管理イベントの監査

自動 ID 管理が有効になっている場合は、監査ログを使用して、自動 ID 管理プロセスによって実行される ID 操作を追跡できます。

自動 ID 管理イベントの監査ログ タグ

自動 ID 管理では、既存の監査ログ イベントが使用されますが、ID 同期プロセスによって自動的に実行される操作を識別するためのタグが追加されます。

  • endpoint: "autoUserCreation" - イベントが自動 ID 管理プロセスから生成されたことを示します。 このタグは、ユーザー操作 (addactivateUserdeactivateUserupdateUser)、グループ操作 (createGroupupdateGroupremoveGroup)、グループ メンバーシップ操作 (addPrincipalToGroupremovePrincipalFromGroup) に表示されます。
  • groupMembershipType: "IdentityProvider" - グループ メンバーシップが ID プロバイダーから同期されたことを示すグループ メンバーシップ操作 (addPrincipalToGroupremovePrincipalFromGroup) に表示されます。

自動 ID 管理監査イベントのクエリを実行する

system.access.audit テーブルに対してクエリを実行して、自動 ID 管理操作を追跡できます。 例えば次が挙げられます。

ユーザー ログインを追跡する:

SELECT
  DISTINCT user_identity.email
FROM
  system.access.audit
WHERE
  action_name = "aadBrowserLogin"

自動 ID 管理によって作成されたユーザーを追跡します。

SELECT
  request_params.targetUserName,
  event_time
FROM
  system.access.audit
WHERE
  action_name = "add"
  AND request_params.endpoint = "autoUserCreation"

ID プロバイダーから同期されたグループ メンバーシップを追跡します。

SELECT
  request_params.targetGroupName,
  request_params.targetUserName,
  event_time
FROM
  system.access.audit
WHERE
  action_name IN ("addPrincipalToGroup", "removePrincipalFromGroup")
  AND request_params.groupMembershipType = "IdentityProvider"

system.access.audit テーブルの詳細については、「監査ログ システム テーブルリファレンス を参照してください。

既知の動作と制限事項

このセクションでは、自動 ID 管理を使用する場合にすぐには明らかではない可能性がある動作について説明します。

グループの作成とワークスペースの割り当て

ID 管理が ID プロバイダーからグループを同期すると、アカウント レベルで自動的に作成されます。 これらのイベントは、createGroupでタグ付けされたendpoint: "autoUserCreation"操作として監査ログに表示されます。 アカウント レベルのグループ作成は自動ですが、ワークスペースの割り当ては別の手動手順です。 同期されたグループのメンバーは、アカウント管理者がグループをワークスペースに割り当てた後にのみ、ワークスペースにアクセスできます。 自動 ID 管理はグループ メンバーシップを制御し、管理者はワークスペース アクセスを制御します。

グループ名の同期がプロアクティブではない

ID プロバイダーのグループ名を変更しても、Azure Databricksのグループ名は直ちに更新されません。 グループ名は、アカウント管理者がアカウント コンソールでグループの詳細ページを開いた場合にのみ同期されます。 それまでは、グループは以前の名前を Azure Databricks に保持します。

自動 ID 管理で SCIM 同期メンバーシップが削除されない

自動 ID 管理では、最初に SCIM プロビジョニングを使用して同期されたグループ メンバーシップは削除されません。 これは、これらのメンバーシップに依存する既存のジョブとアクセス許可を中断しないように設計されています。 古い SCIM 同期メンバーシップを削除するには、 SCIM API を使用して手動でクリーンアップします。

初回利用時のサービス プリンシパルのプロビジョニング

サービス プリンシパルを含むグループを Azure Databricks に追加しても、これらのサービス プリンシパルはプロビジョニングされません。 Azure Databricks では、トークン認証やジョブの実行など、最初の使用時にのみサービス プリンシパルがプロビジョニングされます。 サービス プリンシパルがジョブを認証または実行するまで、Azure Databricks には表示されません。

テナント間の Entra ID ディレクトリはサポートされていません

自動 ID 管理では、テナント間の Microsoft Entra ID ディレクトリはサポートされません。 テナント間 ID 管理が必要な場合は、Microsoft Entra B2B コラボレーションを使用して SCIM プロビジョニングを構成します。

API と Terraform によるネストされたグループとサービス プリンシパル

Azure Databricks アカウントに直接プロビジョニングされていない入れ子になったグループとサービス プリンシパルは、アカウント コンソール UI に表示されますが、Databricks API または Terraform を使用して取得または管理することはできません。 プログラムで管理するには、アカウントに明示的にプロビジョニングします。

SCIM から自動 ID 管理への移行時のアクセス許可の引き継ぎ

SCIM プロビジョニングから自動 ID 管理に移行する場合、グループは同じ内部 Azure Databricks オブジェクトのままです。 Unity カタログのアクセス許可、ワークスペースの割り当て、その他の設定は自動的に引き継がされます。 移行中にアクセス許可が失われることはありません。