Compartilhamento de dados no Microsoft Fabric
O compartilhamento de dados externos do Fabric é um recurso que permite que os usuários do Fabric compartilhem dados de seus locatários com usuários em outro locatário do Fabric. Os dados são compartilhados in-loco a partir de locais de armazenamento do OneLake no locatário do participante, o que significa que nenhum dado é realmente copiado para o outro locatário. Em vez disso, esse compartilhamento entre locatários cria um atalho dio OneLake no outro locatário que aponta de volta para os dados originais no locatário do participante. Os dados compartilhados além dos limites do locatário são expostos aos usuários no outro locatário como somente leitura e podem ser consumidos por qualquer carga de trabalho do OneLake Fabric nesse locatário.
Esse recurso de compartilhamento de dados externos para dados do OneLake do Fabric não está relacionado ao mecanismo existente para compartilhar modelos semânticos do Power BI com usuários convidados do Microsoft Entra B2B.
Como funciona o compartilhamento de dados externos
Como pré-requisito para o compartilhamento de dados externos, os administradores do Fabric precisam ativar o compartilhamento de dados externos tanto no locatário do participante quanto no locatário externo. Habilitar o compartilhamento de dados externos inclui especificar quem pode criar e aceitar compartilhamentos de dados externos. Para saber mais, confira Habilitar compartilhamento de dados externos.
Os usuários que têm permissão para criar compartilhamentos de dados externos podem compartilhar dados residentes em tabelas ou arquivos dentro de itens do Fabric compatíveis, desde que tenham as permissões padrão de leitura e recompartilhamento do Fabric para o item que está sendo compartilhado. O usuário que cria o compartilhamento convida um usuário de outro locatário a aceitar o compartilhamento de dados externos. Esse usuário recebe um link usado para aceitar o compartilhamento. Ao aceitar o compartilhamento, o destinatário escolhe um lakehouse onde um atalho para os dados compartilhados será criado.
Os links de compartilhamento de dados externos não funcionam para usuários que estão no locatário onde o compartilhamento de dados externos foi criado. Eles funcionam apenas para usuários em locatários externos. Para compartilhar dados de contas de armazenamento do OneLake com usuários no mesmo locatário, use os atalhos do OneLake.
Observação
O acesso a dados entre locatários é habilitado por meio de um mecanismo de autenticação Fabric-to-Fabric dedicado e não requer acesso de usuário convidado do Entra B2B.
Tipos de itens do Fabric com suporte
Os tipos de item do Fabric que podem ser usados no compartilhamento de dados externos estão listados abaixo.
Criação de um compartilhamento de dados externo (locatário do provedor): os compartilhamentos de dados externos só podem ser criados para dados que residem em tabelas ou arquivos em lakehouses e bancos de dados espelhados.
Aceitação de um compartilhamento de dados externo (locatário de consumo): somente lakehouses podem ser escolhidas como o local do atalho de compartilhamento de dados externo ao aceitar um compartilhamento de dados externo.
Revogar compartilhamentos de dados externos
Qualquer usuário no locatário de compartilhamento que tenha permissões de leitura e recompartilhamento em um item compartilhado externamente pode revogar o compartilhamento de dados externos a qualquer momento usando a guia Compartilhamentos de dados externos na página gerenciar permissões. A revogação de compartilhamentos de dados externos pode ter sérias implicações para os locatários consumidores e deve ser considerada com cuidado. Para obter mais informações, consulte Revogação de compartilhamentos de dados externos.
Considerações sobre segurança
O compartilhamento de dados com usuários fora do seu locatário doméstico tem implicações para a segurança e a privacidade dos dados que devem ser consideradas. É importante entender os fluxos subjacentes do compartilhamento de dados para avaliar melhor essas implicações.
Os dados são compartilhados entre locatários usando mecanismos de segurança internos do Fabric. O mecanismo de segurança de compartilhamento concede acesso somente leitura a qualquer usuário dentro do locatário doméstico do usuário que foi convidado a aceitar o compartilhamento. Os dados são compartilhados "in-loco". Nenhum dado é copiado nem é acessado até que a pessoa no locatário destinatário execute uma carga de trabalho do Fabric sobre os dados compartilhados. O Fabric avalia e impõe funções e permissões baseadas em Entra-ID localmente, dentro do locatário em que estão definidas. Isso significa que as políticas de controle de acesso definidas no locatário do participante, como RLS (segurança em nível de linha) do modelo semântico, políticas de Proteção de Informações do Microsoft Purview e políticas de Prevenção contra Perda de Dados do Purview, não são impostas aos dados que cruzam os limites da organização. Em vez disso, são as políticas definidas no locatário do consumidor que são aplicadas no compartilhamento de entrada, da mesma forma que são aplicadas em quaisquer dados dentro desse locatário.
Com esse entendimento em mente, esteja ciente do seguinte:
O participante não pode controlar quem tem acesso aos dados no locatário do consumidor.
O consumidor pode conceder acesso aos dados a qualquer pessoa, até mesmo usuários convidados de fora da organização do consumidor.
Os dados podem ser transferidos além dos limites geográficos quando são acessados dentro do locatário do consumidor.
Considerações e limitações
Atalhos: os atalhos contidos em pastas compartilhadas por meio do compartilhamento de dados externos não serão resolvidos no locatário consumidor.
Esquemas de compartilhamento: o compartilhamento de um esquema inteiro não funciona; o Lakehouse dá suporte a esquemas de banco de dados, mas se você compartilhar um, ele não funcionará.
Compartilhamentos de dados externos em regiões não principais: os compartilhamentos de dados externos só podem ser aceitos em uma capacidade localizada na mesma região que o locatário. Por exemplo, se um locatário estiver no Leste dos EUA e tiver duas capacidades, uma no Leste dos EUA e outra no Oeste dos EUA, os usuários não poderão aceitar compartilhamentos em lakehouses que usam a capacidade do Oeste dos EUA.