Externe Datenfreigabe in Microsoft Fabric
Die externe Datenfreigabe von Fabric ist ein Feature, mit dem Fabric-Benutzer*innen Daten aus ihrem Mandanten für Benutzer*innen in einem anderen Fabric-Mandanten freigeben können. Die Daten werden lokal an OneLake-Speicherorten im Mandanten des Freigebenden freigegeben. Das heißt, dass keine Daten tatsächlich in den anderen Mandanten kopiert werden. Vielmehr wird bei dieser mandantenübergreifenden Freigabe im anderen Mandanten eine OneLake-Verknüpfung erstellt, die auf die ursprünglichen Daten im Mandanten des Freigebenden verweist. Daten, die über Mandantengrenzen hinweg freigegeben werden, werden Benutzern im anderen Mandanten als schreibgeschützt zur Verfügung gestellt. Sie können von jeder OneLake-kompatiblen Fabric-Workload in diesem Mandanten genutzt werden.
Dieses Feature für die externe Datenfreigabe für Fabric OneLake-Daten bezieht sich nicht auf den Mechanismus, der zum Freigeben von Power BI-Semantikmodellen für Microsoft Entra B2B-Gastbenutzer vorhanden ist.
Funktionsweise der externen Datenfreigabe
Als Voraussetzung für die externe Datenfreigabe müssen Fabric-Administrator*innen sowohl im Mandanten des Freigebenden als auch im externen Mandanten die externe Datenfreigabe aktivieren. Beim Aktivieren der externen Datenfreigabe muss angegeben werden, wer externe Datenfreigaben erstellen und annehmen kann. Weitere Informationen finden Sie unter Aktivieren der externen Datenfreigabe.
Benutzer*innen, die externe Datenfreigaben erstellen dürfen, können Daten in Tabellen oder Dateien in unterstützten Fabric-Elementen freigeben, sofern sie über die standardmäßigen Fabric-Lese- und -Freigabeberechtigungen für das freizugebende Element verfügen. Der Benutzer, der die Freigabe erstellt, lädt einen Benutzer aus einem anderen Mandanten ein, die externe Datenfreigabe anzunehmen. Der Eingeladene erhält einen Link, über den er die Freigabe annimmt. Beim Annehmen der Freigabe wählt der Empfänger ein Lakehouse aus, in dem eine Verknüpfung zu den freigegebenen Daten erstellt wird.
Links für externe Datenfreigaben funktionieren nicht für Benutzer*innen, die sich im Mandanten befinden, in dem die externe Datenfreigabe erstellt wurde. Sie funktionieren ausschließlich für Benutzer*innen in externen Mandanten. Nutzen Sie OneLake-Verknüpfungen, um Daten aus OneLake-Speicherkonten für Benutzer*innen im selben Mandanten freizugeben.
Hinweis
Der mandantenübergreifende Datenzugriff wird über einen dedizierten Fabric-zu-Fabric-Authentifizierungsmechanismus aktiviert und erfordert keinen Entra-B2B-Gastbenutzerzugriff.
Unterstützte Fabric-Elementtypen
Die Fabric-Elementtypen, die in der externen Datenfreigabe verwendet werden können, sind unten aufgeführt.
Erstellen einer externen Datenfreigabe (Anbietermandant): Externe Datenfreigaben können nur für Daten erstellt werden, die sich in Tabellen oder Dateien in Lakehouses und gespiegelten Datenbanken befinden.
Akzeptieren einer externen Datenfreigabe (Nutzungsmandant): Nur Lakehouses können als Speicherort der Verknüpfung zur externen Datenfreigabe ausgewählt werden, wenn eine externe Datenfreigabe akzeptiert wird.
Widerrufen externer Datenfreigaben
Benutzer*innen im freigebenden Mandanten, die über Lese- und Freigabeberechtigungen für ein extern freigegebenes Element verfügen, können die externe Datenfreigabe jederzeit über die Registerkarte Externe Datenfreigaben auf der Seite „Berechtigungen verwalten“ widerrufen. Das Widerrufen externer Datenfreigaben kann schwerwiegende Folgen für die nutzenden Mandanten haben und sollte wohl überlegt werden. Weitere Informationen finden Sie unter Widerrufen externer Datenfreigaben.
Sicherheitshinweise
Das Freigeben von Daten für Benutzer*innen außerhalb Ihres Basismandanten hat Folgen für die Datensicherheit und den Datenschutz, die Sie berücksichtigen sollten. Zu besseren Einschätzung der Folgen ist ein Verständnis der zugrunde liegenden Datenflüsse unerlässlich.
Daten werden mithilfe Fabric-interner Sicherheitsmechanismen mandantenübergreifend freigegeben. Der Sicherheitsmechanismus für Freigaben gewährt allen Benutzer*innen im Basismandanten des Benutzers, der zur Annahme der Freigabe eingeladen wurde, schreibgeschützten Zugriff. Die Daten werden „lokal“ freigegeben. Es werden keine Daten kopiert, und der Zugriff erfolgt erst, wenn jemand im empfangenden Mandanten eine Fabric-Workload für die freigegebenen Daten ausführt. Entra-ID-basierte Rollen und Berechtigungen werden von Fabric lokal – im Mandanten, in dem sie definiert sind – ausgewertet und durchgesetzt. Das bedeutet, dass Zugriffssteuerungsrichtlinien, die im Mandanten des Freigebenden definiert sind – wie etwa die Sicherheit auf Zeilenebene (RLS) des Semantikmodells sowie Richtlinien für Microsoft Purview Information Protection und Purview Data Loss Prevention –, für Daten, die Organisationsgrenzen überschreiten, nicht durchgesetzt werden. Vielmehr werden die Richtlinien, die im Mandanten des Verbrauchers definiert sind, für die eingehende Freigabe durchgesetzt, genauso wie sie für Daten in diesem Mandanten durchgesetzt werden.
Beachten Sie vor diesem Hintergrund Folgendes:
Der Freigebende kann nicht steuern, wer Zugriff auf die Daten im Mandanten des Verbrauchers hat.
Der Verbraucher kann allen Benutzer*innen Zugriff auf die Daten gewähren, auch Gastbenutzer*innen von außerhalb der Organisation des Verbrauchers.
Daten können über geografische Grenzen hinweg übertragen werden, wenn im Mandanten des Verbrauchers darauf zugegriffen wird.
Überlegungen und Einschränkungen
Verknüpfungen: Verknüpfungen in Ordnern, die über die externe Datenfreigabe freigegeben werden, werden im Mandanten des Verbrauchers nicht aufgelöst.
Freigabeschemas: Das Freigeben eines gesamten Schemas funktioniert nicht: Lakehouse unterstützt Datenbankschemas, aber wenn Sie ein Schema freigeben, funktioniert es nicht.
Externe Datenfreigaben in nicht privaten Regionen: Externe Datenfreigaben können nur in einer Kapazität akzeptiert werden, die sich in derselben Region wie der Mandant befindet. Wenn sich beispielsweise ein Mandant in Ost-USA befindet und über zwei Kapazitäten verfügt, eine in den USA und eine in west-US, können Die Benutzer keine Anteile an Lakehouses akzeptieren, die die West-US-Kapazität nutzen.