Udostępnianie danych zewnętrznych w usłudze Microsoft Fabric
Zewnętrzne udostępnianie danych sieci szkieletowej to funkcja umożliwiająca użytkownikom sieci szkieletowej udostępnianie danych z dzierżawy użytkownikom w innej dzierżawie sieci szkieletowej. Dane są udostępniane w miejscu z lokalizacji magazynu usługi OneLake w dzierżawie programu Sharer, co oznacza, że żadne dane nie są rzeczywiście kopiowane do innej dzierżawy. Zamiast tego udostępnianie między dzierżawami tworzy skrót OneLake w innej dzierżawie, który wskazuje oryginalne dane w dzierżawie współużytkującego. Dane współużytkowane przez granice dzierżawy są udostępniane użytkownikom w innej dzierżawie jako tylko do odczytu i mogą być używane przez dowolne obciążenie sieci szkieletowej zgodnej z usługą OneLake w tej dzierżawie.
Ta funkcja udostępniania danych zewnętrznych dla danych onelake sieci szkieletowej nie jest powiązana z mechanizmem udostępniania modeli semantycznych usługi Power BI użytkownikom-gościom usługi Microsoft Entra B2B.
Jak działa udostępnianie danych zewnętrznych
W ramach wymagań wstępnych dotyczących udostępniania danych zewnętrznych administratorzy sieci szkieletowej muszą włączyć udostępnianie danych zewnętrznych zarówno w dzierżawie programu sharer, jak i w dzierżawie zewnętrznej. Włączenie udostępniania danych zewnętrznych obejmuje określenie, kto może tworzyć i akceptować zewnętrzne udziały danych. Aby uzyskać więcej informacji, zobacz Włączanie udostępniania danych zewnętrznych.
Użytkownicy, którzy mogą tworzyć zewnętrzne udziały danych, mogą udostępniać dane znajdujące się w tabelach lub plikach w obsługiwanych elementach sieci szkieletowej, o ile mają standardowe uprawnienia odczytu i udostępniania dalej dla udostępnianego elementu. Użytkownik tworzący udział zaprasza użytkownika z innej dzierżawy do akceptowania zewnętrznego udziału danych. Ten użytkownik otrzymuje link używany do akceptowania udziału. Po zaakceptowaniu udziału odbiorca wybierze magazyn lakehouse, w którym zostanie utworzony skrót do udostępnionych danych.
Linki do zewnętrznego udostępniania danych nie działają dla użytkowników, którzy znajdują się w dzierżawie, w której utworzono zewnętrzny udział danych. Działają tylko dla użytkowników w dzierżawach zewnętrznych. Aby udostępniać dane z kont magazynu OneLake użytkownikom w tej samej dzierżawie, użyj skrótów OneLake.
Uwaga
Dostęp do danych między dzierżawami jest włączony za pośrednictwem dedykowanego mechanizmu uwierzytelniania sieć szkieletowa-sieć szkieletowa i nie wymaga dostępu użytkownika-gościa Entra B2B.
Obsługiwane typy elementów sieci szkieletowej
Poniżej wymieniono typy elementów sieci szkieletowej, które mogą być używane w zewnętrznym udostępnianiu danych.
Tworzenie zewnętrznego udziału danych (dzierżawy dostawcy): zewnętrzne udziały danych można tworzyć tylko dla danych znajdujących się w tabelach lub plikach w bazach danych typu lakehouse i dublowanych bazach danych.
Akceptowanie zewnętrznego udziału danych (dzierżawcy) : podczas akceptowania zewnętrznego udziału danych można wybrać tylko obiekty typu lakehouse jako lokalizację zewnętrznego udziału danych.
Odwołowanie zewnętrznych udziałów danych
Każdy użytkownik w dzierżawie udostępniania, który ma uprawnienia do odczytu i udostępniania dalej na zewnętrznym elemencie udostępnionym, może w dowolnym momencie odwołać zewnętrzny udział danych przy użyciu karty Zewnętrzne udziały danych na stronie zarządzania uprawnieniami. Odwołowanie zewnętrznych udziałów danych może mieć poważne konsekwencje dla dzierżawców, które należy dokładnie rozważyć. Aby uzyskać więcej informacji, zobacz Cofanie zewnętrznych udziałów danych.
Zagadnienia związane z zabezpieczeniami
Udostępnianie danych użytkownikom spoza dzierżawy domowej ma wpływ na bezpieczeństwo i prywatność danych, które należy wziąć pod uwagę. Ważne jest, aby zrozumieć podstawowe przepływy udostępniania danych, aby lepiej ocenić te implikacje.
Dane są udostępniane między dzierżawami przy użyciu mechanizmów zabezpieczeń wewnętrznych sieci szkieletowej. Mechanizm zabezpieczeń udziału udziela dostępu tylko do odczytu każdemu użytkownikowi w dzierżawie głównej użytkownika, który został zaproszony do zaakceptowania udziału. Dane są udostępniane "w miejscu". Żadne dane nie są kopiowane i nie są nawet dostępne, dopóki ktoś w dzierżawie odbierającego nie wykona obciążenia sieci szkieletowej na udostępnionych danych. Sieć szkieletowa ocenia i wymusza lokalne role i uprawnienia oparte na identyfikatorach entra w ramach dzierżawy, w której są zdefiniowane. Oznacza to, że zasady kontroli dostępu zdefiniowane w dzierżawie współużytkownika, takie jak zabezpieczenia na poziomie wiersza modelu semantycznego (RLS), zasady usługi Microsoft Purview Information Protection i zasady ochrony przed utratą danych usługi Purview nie są wymuszane na danych, które przekraczają granice organizacji. Zamiast tego zasady zdefiniowane w dzierżawie odbiorcy są wymuszane w udziale przychodzącym w taki sam sposób, jak są wymuszane na wszystkich danych w tej dzierżawie.
Mając to na uwadze, należy pamiętać o następujących kwestiach:
Sharer nie może kontrolować, kto ma dostęp do danych w dzierżawie odbiorcy.
Użytkownik może udzielić dostępu do danych wszystkim użytkownikom-gościom spoza organizacji konsumenta.
Dane mogą być przesyłane przez granice geograficzne, gdy są dostępne w dzierżawie odbiorcy.
Rozważania i ograniczenia
Skróty: skróty zawarte w folderach, które są współużytkowane za pośrednictwem zewnętrznego udostępniania danych, nie będą rozpoznawane w dzierżawie odbiorcy.
Udostępnianie schematów: udostępnianie całego schematu nie działa: usługa Lakehouse obsługuje schematy baz danych, ale jeśli je udostępnisz, nie będzie działać.
Zewnętrzne udziały danych w regionach innych niż lokalne: udziały danych zewnętrznych można zaakceptować tylko w pojemności znajdującej się w tym samym regionie co dzierżawa. Jeśli na przykład dzierżawa znajduje się w regionie Wschodnie stany USA i ma dwie pojemności, jedną w regionie Wschodnie stany USA i jedną w regionie Zachodnie stany USA, użytkownicy nie będą mogli akceptować udziałów w usłudze Lakehouse korzystających z pojemności Zachodnie stany USA.