Condivisione di dati esterni in Microsoft Fabric
La condivisione di dati esterni di Fabric è una funzionalità che consente agli utenti Fabric di condividere dati all’interno del proprio tenant con gli utenti di un altro tenant. I dati vengono condivisi sul posto dalle posizioni di archiviazione di OneLake nel tenant del condivisore, quindi nessun dato viene effettivamente copiato nell'altro tenant. Invece, questa condivisione tra tenant crea un collegamento OneLake nell'altro tenant che fa riferimento ai dati originali nel tenant del condivisore. I dati condivisi attraverso i limiti del tenant vengono esposti agli utenti dell'altro tenant in modalità di sola lettura e possono essere utilizzati da qualsiasi carico di lavoro di Fabric compatibile con OneLake in tale tenant.
Questa funzionalità di condivisione dei dati esterni per i dati OneLake di Fabric non è correlata al meccanismo esistente per la condivisione di modelli semantici di Power BI con gli utenti guest di Microsoft Entra B2B.
Funzionamento della condivisione dei dati esterni
Come prerequisito per la condivisione dei dati esterni, gli amministratori di Fabric devono abilitare la condivisione dei dati esterni sia nel tenant del condivisore che in quello esterno. L'abilitazione della condivisione dei dati esterni include la specifica di chi può creare e accettare condivisioni di dati esterne. Per altre informazioni, vedere Abilitare la condivisione di dati esterni.
Gli utenti autorizzati a creare condivisioni dati esterne possono condividere i dati che risiedono in tabelle o file all'interno di elementi di Fabric supportati, purché dispongano delle autorizzazioni di lettura e ri-condivisione standard di Fabric per l'elemento condiviso. L'utente che crea la condivisione invita un utente di un altro tenant ad accettare la condivisione di dati esterni. Questo utente riceve un link da usare per accettare la condivisione. Dopo aver accettato la condivisione, il destinatario sceglie un lakehouse in cui verrà creato un collegamento ai dati condivisi.
I link di condivisione di dati esterni non funzionano per gli utenti che si trovano nel tenant in cui è stata creata la condivisione. Funzionano solo per gli utenti in tenant esterni. Per condividere dati da account di archiviazione OneLake con gli utenti nello stesso tenant, usare i collegamenti OneLake.
Nota
L'accesso ai dati tra tenant è abilitato tramite un meccanismo di autenticazione dedicato da Fabric a Fabric e non richiede l'accesso utente guest Entra B2B.
Tipi di elementi di Fabric supportati
Di seguito sono elencati i tipi di elemento fabric che possono essere usati nella condivisione dati esterna.
Creazione di una condivisione dati esterna (tenant del provider): le condivisioni dati esterne possono essere create solo per i dati che risiedono in tabelle o file in lakehouse e database con mirroring.
Accettazione di una condivisione dati esterna (tenant di utilizzo): solo i lakehouse possono essere scelti come posizione del collegamento alla condivisione dati esterna quando si accetta una condivisione dati esterna.
Revocare le condivisioni di dati esterni
Qualsiasi utente nel tenant di condivisione che dispone di autorizzazioni di lettura e ri-condivisione per un elemento condiviso esternamente può revocare la condivisione di dati esterni in qualsiasi momento usando la scheda Condivisioni dati esterne nella pagina di gestione delle autorizzazioni. La revoca delle condivisioni dati esterne può avere gravi implicazioni per i tenant di consumo e deve essere considerata attentamente. Per altre informazioni, vedere Revocare le condivisioni dati esterne.
Security Considerations
La condivisione dei dati con utenti esterni al tenant principale ha implicazioni per la sicurezza e la privacy dei dati da considerare. È importante comprendere i flussi sottostanti di condivisione dei dati per valutare meglio queste implicazioni.
I dati sono condivisi tra tenant usando meccanismi di sicurezza interni a Fabric. Il meccanismo di sicurezza della condivisione concede l'accesso in modalità di sola lettura a qualsiasi utente all'interno del tenant principale dell'utente che è stato invitato ad accettare la condivisione. I dati sono condivisi "sul posto". Non viene copiato alcun dato e non viene nemmeno eseguito l'accesso finché l'utente nel tenant ricevente non esegue un carico di lavoro di Fabric sui dati condivisi. Fabric valuta e applica ruoli e autorizzazioni basati su Entra-ID in locale, all'interno del tenant in cui sono definiti. Ciò significa che i criteri di controllo di accesso definiti nel tenant del condivisore, come la sicurezza a livello di riga (RLS) del modello semantico, i criteri di Microsoft Purview Information Protection e i criteri di prevenzione della perdita dei dati Purview non vengono applicati ai dati che superano i limiti dell'organizzazione. Si tratta invece dei criteri definiti nel tenant dell’utente che vengono applicati alla condivisione in entrata, allo stesso modo in cui vengono applicati a tutti i dati all'interno di tale tenant.
Tenendo a mente questa comprensione, tenere presente quanto segue:
Il condivisore non può controllare chi può accedere ai dati nel tenant dell’utente.
L’utente può concedere l'accesso ai dati a chiunque, anche agli utenti guest dall'esterno dell'organizzazione dell'utente.
I dati possono essere trasferiti attraverso limiti geografici quando vi si accede all'interno del tenant dell’utente.
Considerazioni e limitazioni
Collegamenti: i collegamenti contenuti nelle cartelle condivise tramite la condivisione di dati esterni non verranno risolti nel tenant dell’utente.
Condivisione degli schemi: la condivisione di un intero schema non funziona: Lakehouse supporta gli schemi di database, ma se ne condivide uno, non funzionerà.
Condivisioni dati esterne in aree non home: le condivisioni dati esterne possono essere accettate solo in una capacità che si trova nella stessa area del tenant. Ad esempio, se un tenant si trova negli Stati Uniti orientali e ha due capacità, una negli Stati Uniti orientali e una negli Stati Uniti occidentali, gli utenti non potranno accettare condivisioni in Lakehouse che usano la capacità Stati Uniti occidentali.