本文介绍可应用于 AI/BI 产品的帐户和工作区级管理控件。
管理仪表板访问权限
在工作区级别授予用户权利,用于控制他们与 Azure Databricks 工作区的交互方式。 有关每个访问类型的详细信息 ,请参阅“管理权利 ”。
仪表板可以安全地与以下用户类型共享:
工作区用户:权限的范围限定为成员所在的工作区。 若要访问多个工作区,必须分别将其添加到每个工作区。 他们的访问权限由决定他们如何与数据资产交互的授权控制。
- 使用 Databricks SQL 访问 权利:用户可以创建新的仪表板和 Genie 空间。 可以授予访问权限,以便查看、编辑和管理草稿和已发布的仪表板。 可以授予对计算和 Unity Catalog 管理的数据的访问权限。
- 使用 使用者访问权限 :可以授予用户对已发布仪表板的访问权限。 可以授予对计算和 Unity Catalog 管理的数据的访问权限。
帐户用户:可以授予对具有共享数据权限的已发布仪表板的访问权限。 帐户用户必须注册到 Azure Databricks 帐户,但他们不需要访问任何其他资源或添加到工作区。 帐户用户可以被分配为帐户中任何工作区的仪表板的收件人。 请参阅 “共享仪表板 ”,了解有关已发布仪表板和共享数据权限的详细信息。
请参阅管理权限。
按访问类型提供的功能
下表总结了与每种访问类型关联的功能:
| 能力 | 帐户成员访问权限 | 使用者访问权限 | Databricks SQL 访问权限 |
|---|---|---|---|
| 查看/运行仪表板 | ✓ | ✓ | ✓ |
| 在视图上实施行级和列级安全控制 | ✓ | ✓ | |
| 使用 BI 工具查询 SQL 仓库 | ✓ | ✓ | |
| 通过第三方 BI 工具访问 Unity 目录管理的数据 | ✓ | ||
| 读取/写入 AI/BI 仪表板 | ✓ |
注释
若要允许帐户用户查看仪表板数据,必须使用共享数据权限发布仪表板。
网络注意事项
如果配置了 IP 访问列表,则用户只能从批准的 IP 范围内访问仪表板(例如使用 VPN 时)。 这一点适用于所有用户,无论他们是否已分配到工作区。 有关配置访问权限的详细信息,请参阅管理 IP 访问列表。
用户和组管理
所有已注册到 Azure Databricks 的用户都属于你的 Azure Databricks 帐户。 在 Azure Databricks 帐户中注册用户可以建立一个可验证的身份,该身份可用于该用户查看共享仪表板或 Genie 空间时的身份验证。 将单个用户组织成组可以使作者和编辑更轻松地共享。 例如,作者可与单个命名组共享,而不是与帐户中的每个用户共享。
注释
用户必须具有适当的数据和计算权限才能与 Genie 空间交互,该空间只能授予工作区用户。
用户还可以使用自动标识管理与Microsoft Entra ID 中的任何用户、服务主体或组共享仪表板。 登录后,这些用户会自动添加到 Azure Databricks 帐户。 它们不会添加到仪表板的起始工作区。 默认情况下,为在 2025 年 8 月 1 日之后创建的帐户启用自动标识管理。 有关详细信息,请参阅 从 Microsoft Entra ID 自动同步用户和组。
用户和组可以访问零个、一个或多个工作区。 作者可以在共享仪表板或 Genie 空间时,将用户和组添加到 具有访问权限的人员 列表中,以便像其他工作区对象一样分配特定权限。
对于仪表板,他们可以使用以下选项之一配置 共享设置 :
- 只有拥有访问权限的人员才能查看
- 我的帐户中的任何人都可以查看
如果仪表板是使用共享数据权限发布的,并与帐户中的特定用户、组或所有用户共享,则无论他们是否有权访问原始工作区,这些用户都可以访问它。
下图显示了工作区和帐户级别的用户和组之间的关系。
除了帐户注册之外,不需要任何其他配置。 用户无需分配到工作区或授予对计算资源的访问权限。
管理仪表板嵌入
用户可以安全地将仪表板嵌入外部网站和应用程序中。 每个嵌入选项都需要工作区管理员配置设置和权限。 若要了解如何管理嵌入设置,请参阅 “管理仪表板嵌入”。
工作区管理员订阅控制
工作区管理员可以阻止用户使用订阅分发仪表板。 更改此设置可防止所有用户将电子邮件订阅者添加到计划的仪表板。 仪表板编辑者无法添加订阅者,而仪表板查看者没有订阅计划的仪表板的选项。
若要防止共享电子邮件更新,请执行以下操作:
单击 Azure Databricks 工作区顶部栏中的用户名,然后选择“设置”。
在“设置”边栏中,单击“通知”。
关闭“启用仪表板电子邮件订阅”选项。
如果关闭此设置,则会暂停现有订阅,并且没有人可以修改现有订阅列表。 如果重新打开此设置,订阅将使用现有列表恢复。
下载控件
工作区管理员可以调整其安全设置,以防止用户使用以下步骤下载仪表板和 Genie 空间结果:
单击 Azure Databricks 工作区顶部栏中的用户名,然后选择“设置”。
在“设置”边栏中,单击“安全性”。
关闭“SQL 结果下载”选项。
转让仪表板的所有权
工作区管理员可以将仪表板的所有权转让给其他用户。
导航到仪表板列表。 单击仪表板名称进行编辑。
单击“共享”。
请单击
,该图标位于共享对话框的右上角。
开始键入用户名以搜索并选择新所有者。
单击“确认”。
新所有者会显示在具有 CAN MANAGE 权限的 “共享 ”对话框中。 若要查看按所有者列出的仪表板,请单击 
“仪表板”转到可用仪表板列表。
监视 AI/BI 活动
管理员可以使用审核日志监视仪表板上的活动。 请参阅 AI/BI 仪表板事件。 有关演示如何访问审核日志信息以回答常见问题的代码示例,请参阅 使用审核日志和警报监视 AI/BI 使用情况。