Partilhar via


Compartilhamento de dados externos no Microsoft Fabric

O compartilhamento de dados externos de malha é um recurso que permite que os usuários de malha compartilhem dados de seu locatário com usuários em outro locatário de malha. Os dados são compartilhados in-loco de locais de armazenamento do OneLake no locatário do participante, o que significa que nenhum dado é realmente copiado para o outro locatário. Em vez disso, esse compartilhamento entre locatários cria um atalho OneLake no outro locatário que aponta para os dados originais no locatário do participante. Os dados compartilhados entre os limites do locatário são expostos aos usuários no outro locatário como somente leitura e podem ser consumidos por qualquer carga de trabalho de malha compatível com OneLake nesse locatário.

Ilustração de um compartilhamento de dados OneLake entre locatários.

Esse recurso de compartilhamento de dados externos para dados do Fabric OneLake não está relacionado ao mecanismo que existe para compartilhar modelos semânticos do Power BI com usuários convidados do Microsoft Entra B2B.

Como funciona o compartilhamento de dados externos

Como pré-requisito para o compartilhamento de dados externos, os administradores do Fabric precisam ativar o compartilhamento de dados externos no locatário do participante e no locatário externo. Habilitar o compartilhamento de dados externos inclui especificar quem pode criar e aceitar compartilhamentos de dados externos. Para obter mais informações, consulte Habilitar compartilhamento de dados externos.

Os usuários com permissão para criar compartilhamentos de dados externos podem compartilhar dados residentes em tabelas ou arquivos em itens de malha suportados, desde que tenham as permissões padrão de leitura e recompartilhamento de malha para o item que está sendo compartilhado. O usuário que cria o compartilhamento convida um usuário de outro locatário a aceitar o compartilhamento de dados externo. Esse usuário recebe um link que usa para aceitar o compartilhamento. Ao aceitar o compartilhamento, o destinatário escolhe uma casa de lago onde um atalho para os dados compartilhados será criado.

Os links de compartilhamento de dados externos não funcionam para usuários que estão no locatário onde o compartilhamento de dados externos foi criado. Eles funcionam apenas para usuários em locatários externos. Para compartilhar dados de contas de armazenamento do OneLake com usuários no mesmo locatário, use os atalhos do OneLake.

Nota

O acesso a dados entre locatários é habilitado por meio de um mecanismo de autenticação Fabric-to-Fabric dedicado e não requer acesso de usuário convidado Entra B2B.

Tipos de item de malha suportados

Os tipos de item Malha que podem ser usados no compartilhamento de dados externos estão listados abaixo.

  • Criando um compartilhamento de dados externo (locatário do provedor): os compartilhamentos de dados externos podem ser criados apenas para dados que residem em tabelas ou arquivos em lakehouses e bancos de dados espelhados.

  • Aceitar um compartilhamento de dados externo (locatário consumidor): Somente lakehouses podem ser escolhidos como o local do atalho de compartilhamento de dados externos ao aceitar um compartilhamento de dados externo.

Revogação de partilhas de dados externos

Qualquer usuário no locatário de compartilhamento que tenha permissões de leitura e recompartilhamento em um item compartilhado externamente pode revogar o compartilhamento de dados externos a qualquer momento usando a guia Compartilhamentos de dados externos na página gerenciar permissões. A revogação de compartilhamentos de dados externos pode ter sérias implicações para os locatários consumidores e deve ser considerada com cuidado. Para obter mais informações, consulte Revogando compartilhamentos de dados externos.

Considerações de Segurança

A partilha de dados com utilizadores fora do seu inquilino doméstico tem implicações para a segurança e privacidade dos dados que deve considerar. É importante entender os fluxos subjacentes de compartilhamento de dados para avaliar melhor essas implicações.

Os dados são compartilhados entre locatários usando mecanismos de segurança internos do Fabric. O mecanismo de segurança de compartilhamento concede acesso somente leitura a qualquer usuário dentro do locatário inicial do usuário que foi convidado a aceitar o compartilhamento. Os dados são partilhados "in-loco". Nenhum dado é copiado e nem mesmo é acessado até que alguém no locatário recetor execute uma carga de trabalho do Fabric sobre os dados compartilhados. O Fabric avalia e impõe funções e permissões baseadas em Entra-ID localmente, dentro do locatário em que estão definidas. Isso significa que as políticas de controle de acesso definidas no locatário do participante, como RLS (segurança em nível de linha) do modelo semântico, políticas de Proteção de Informações do Microsoft Purview e políticas de Prevenção de Perda de Dados do Purview, não são aplicadas em dados que cruzam os limites da organização. Em vez disso, são as políticas definidas no locatário do consumidor que são aplicadas no compartilhamento de entrada, da mesma forma que são aplicadas a quaisquer dados dentro desse locatário.

Com esse entendimento em mente, esteja ciente do seguinte:

  • O participante não pode controlar quem tem acesso aos dados no locatário do consumidor.

  • O consumidor pode conceder acesso aos dados a qualquer pessoa, até mesmo a usuários convidados de fora da organização do consumidor.

  • Os dados podem ser transferidos através de fronteiras geográficas quando são acessados dentro do locatário do consumidor.

Considerações e limitações

  • Atalhos: os atalhos contidos em pastas compartilhadas por meio do compartilhamento de dados externos não serão resolvidos no locatário consumidor.

  • Compartilhamento de esquemas: Compartilhar um esquema inteiro não funciona: o Lakehouse suporta esquemas de banco de dados, mas se você compartilhar um, ele não funcionará.

  • Compartilhamentos de dados externos em regiões não domésticas: os compartilhamentos de dados externos só podem ser aceitos em uma capacidade localizada na mesma região que o locatário. Por exemplo, se um inquilino estiver no Leste dos EUA e tiver duas capacidades, uma no Leste dos EUA e outra no Oeste dos EUA, os usuários não poderão aceitar ações em Lakehouses que usam a capacidade do Oeste dos EUA.