共用方式為

儀表板管理指南

  • 發行項

本文說明可套用至 AI/BI 儀表板之帳戶和工作區層級的系統管理控制件。

儀表板共用

具有內嵌 credentials 的已發佈儀錶板可以安全地與帳戶中的使用者和群組共用,即使使用者無法存取原始工作區也一樣。 使用者必須註冊至您的 Azure Databricks 帳戶,但不需要存取任何其他資源或新增至工作區。

若要了解更多有關已發佈的儀錶板和內嵌 credentials的資訊,請參閱 發佈儀錶板

網路考量

如果已設定IP存取清單,則只有在使用者從核准的IP範圍內存取它們時,才能存取儀表板,例如使用 VPN 時。 這適用於所有使用者,無論他們是否指派給工作區。 如需進行設定存取權的詳細資訊,請參閱 管理IP存取清單

儀表板共用的使用者和群組管理

向 Azure Databricks 註冊的所有使用者都屬於您的 Azure Databricks 帳戶。 在 Azure Databricks 帳戶中註冊使用者,會建立 Azure Databricks 可在該使用者 views 共用儀錶板時用於驗證的可驗證身分識別。 將個別用戶組織成群組,可讓儀表板作者和編輯器更容易共用。 例如,作者可以與單一具名群組共用,而不是與帳戶中的每個使用者共用。

儀表板是由具有 Databricks SQL 存取權的工作區成員所建立。 使用者和群組可以存取零、一或多個工作區。 工作區使用者也可以獲授與存取計算資源的權限,讓他們在儀表板上建立和共同作業等。

共用儀錶板時,作者可以將使用者和群組新增至具有存取權的 對象list,以指派特定許可權,如同處理其他工作區對象一樣。 此外,他們可以使用下列其中一個選項來設定 共用設定

  • 只有具有存取權的人員才能檢視
  • 我的帳戶中的任何人都可以檢視

如果儀錶板是透過內嵌 credentials 發佈,並與特定使用者、群組或帳戶中所有使用者共用,則無論他們是否有原始工作區的存取權,這些使用者都可以存取它。

下圖顯示工作區和帳戶層級的使用者和群組之間的關聯性。

具有儀表板共用的帳戶層級 SCIM 圖表

Azure Databricks 建議帳戶管理員使用帳戶層級 SCIM 布建,將所有使用者和群組自動從 Microsoft Entra ID 自動 sync Microsoft至 Azure Databricks 帳戶。 您也可以在 Azure Databricks 帳戶中 set 身分識別時手動註冊這些使用者和群組。 這使得在作者嘗試共用儀錶板之前,他們可以被納入為合格recipients。 請參閱 啟用所有Microsoft Entra ID 使用者以存取 Azure Databricks

除了帳戶註冊之外,不需要額外的設定。 使用者不需要指派給工作區或提供計算資源的存取權。

管理儀表板內嵌

內嵌可讓具有至少 CAN EDIT 許可權的儀錶板使用者可以使用 [共用] 對話框來 generate iframe 內嵌程式代碼。 工作區管理員可以管理哪些網域,如果有的話,已核准用來裝載內嵌儀表板。

工作區系統管理員設定會開啟至內嵌儀表板標題。

若要 set 定義可以內嵌儀錶板 where 網域的原則,請執行下列動作:

  1. 點選 Azure Databricks 工作區頂端列中的使用者名稱,select[設定]

  2. 按一下安全性

  3. 向下捲動至外部存取章節。

  4. 在「內嵌儀錶板」區段中,使用下拉選單來 set 工作區的策略。

    您有三個原則選項:

    • 允許:儀表板可以內嵌在任何網域中。
    • 允許核准的網域:儀錶板只能內嵌在符合已核准 list的網站中。
    • Deny:儀錶板無法內嵌在任何網域中。

如果您 select允許已核准的網域,您可以使用本節來管理您已核准的網域 list,方法如下:

  1. 按一下內嵌儀表板旁的管理
  2. 核准網域對話框的文字欄位中輸入網域。 按一下在每個項目之後新增網域
  3. 按一下儲存

定義已核准網域和路由的秘訣

若要指定允許的主機,請使用 W3C 的內容安全原則檔案中定義的文法。 本節中的範例說明一些常見的模式。

允許子域名

若要允許指定網域的所有子域,請在功能變數名稱之前使用通配符符號 (*)。 下列範例使用 *.databricks.com 作為範例網域。

  • 符合: 任何子域
    • some.databricks.com
    • app.databricks.com
    • anything.databricks.com
  • 不相符: 具有不同網域的任何專案。
    • another-databricks.com
    • app-databricks.com

允許特定 URL 路徑

若要允許基底 URL 下的所有頁面,請使用尾端斜線 (/) 來代表根目錄。 子目錄和其他路徑將會相符。

下列範例使用 sites.google.com/some/path/ 作為範例提供的路徑。

  • 匹配項目:sites.google.com/some/path/to/my/dashboardsites.google.com/some/path/any-page
  • 不相符:
    • sites.google.com/some/path。 此範例缺少尾端斜線,因此是不同的 URL。
    • sites.google.com/some/other/path/to/my/dashboard。 這個範例不會共用相同的基底路徑。

注意

沒有結尾斜線的 URL 會被視為完全符合,而且不包含子路徑。

工作區管理員訂用帳戶控件

工作區管理員可以防止使用者使用訂用帳戶散發儀表板。 變更此設定可防止所有使用者將電子郵件訂閱者新增至排程的儀表板。 儀表板編輯器無法新增訂閱者,而且儀表板查看器沒有訂閱排程儀表板的選項。

若要防止共用電子郵件更新:

  1. 點選 Azure Databricks 工作區頂端列中的使用者名稱,select[設定]
  2. 設定提要欄位中,按一下通知
  3. 關閉啟用儀表板電子郵件訂閱選項。

如果此設定關閉,則會暫停現有的訂用帳戶,而且沒有人可以修改現有的訂用帳戶清單。 如果切換回此設定,訂閱會繼續使用現有的 list。

工作區系統管理員下載控制件

工作區管理員可以調整其安全性設定,以防止使用者使用下列步驟下載結果:

  1. 點選 Azure Databricks 工作區頂端列中的使用者名稱,select[設定]
  2. 設定側邊欄中,按一下安全性
  3. 關閉 SQL 結果下載選項。

轉移儀表板的擁有權

工作區管理員可以將儀表板的擁有權轉移給不同的使用者。

  1. 移至儀錶板 list。 按一下要編輯的儀表板名稱。
  2. 按一下共用
  3. 齒輪圖示 按一下共用對話框右上方的圖示。 使用齒輪圖示共用對話框
  4. 開始輸入用戶名稱來搜尋並 select 新的擁有者。
  5. 按一下確認

新的擁有者會出現在可管理權限的共用對話框中。 若要檢視以擁有者為分類的儀錶板,請點擊 儀錶板圖示儀錶板,移至 list 檢視可用的儀錶板。

監視儀表板活動

系統管理員可以使用稽核記錄監視儀表板上的活動。 請參閱 AI/BI 儀錶板事件。 如需示範如何存取稽核記錄資訊以回答草稿、已發佈和內嵌儀錶板的常見問題的程式代碼範例,請參閱 使用稽核記錄監視儀錶板使用量。