Extern datadelning i Microsoft Fabric
Extern datadelning i Fabric är en funktion som gör det möjligt för användare av Fabric att dela data från sin klientorganisation med användare i en annan Fabric-klientorganisation. Datan delas på plats från OneLake-lagringsplatser i delaress klientorganisation, vilket innebär att inga data faktiskt kopieras till den andra klientorganisationen. I stället skapar den här delningen mellan klientorganisationer en OneLake-genväg i den andra klientorganisationen som pekar tillbaka till de ursprungliga datan i den delande klientorganisationen. Data som delas över gränser mellan klientorganisationer exponeras för användare i en annan klientorganisation som skrivskyddad och kan användas av alla OneLake-kompatibla Fabric-arbetsbelastningar i den klientorganisationen.
Den här externa datadelningsfunktionen för Fabric OneLake-data är inte relaterad till den mekanism som finns för att dela Power BI-semantiska modeller med Microsoft Entra B2B-gästanvändare.
Hur fungerar extern datadelning?
Som en förutsättning för extern datadelning måste fabric-administratörer aktivera extern datadelning både i resursens klientorganisation och i den externa klientorganisationen. Att aktivera extern datadelning inkluderar att ange vem som kan skapa och acceptera externa dataresurser. Mer information finns i Aktivera extern datadelning.
Användare som har behörighet att skapa externa datadelningar kan dela data som finns i tabeller eller filer inom stödda Fabric-objekt, förutsatt att de har standardbehörigheter för Fabric att läsa och dela om för objektet som delas. Användaren som skapar delningen bjuder in en användare från en annan hyresgäst att acceptera den externa datadelningen. Den här användaren får en länk som de använder för att acceptera delningen. När mottagaren accepterar datadelningen väljer denne ett lakehouse där en genväg till de delade data skapas.
Externa dataresurslänkar fungerar inte för användare som finns i klientorganisationen där den externa dataresursen skapades. De fungerar bara för användare i externa klienter. Om du vill dela data från OneLake-lagringskonton med användare i samma klientorganisation använder du OneLake-genvägar.
Kommentar
Dataåtkomst mellan klientorganisationer aktiveras via en dedikerad Fabric-till-Fabric-autentiseringsmekanism och kräver inte Entra B2B-gästanvändaråtkomst.
Typer av objekt i Fabric som stöds
Typer av Fabric-objekt som kan användas i extern datadelning listas nedan.
Skapa en extern datadelning (leverantörsklient): Externa datadelningar kan skapas som tabeller eller filer i datalager och datavarehus, samt i KQL, SQL och speglade databaser.
Acceptera en extern datadelning (konsumerande klient): Endast lakehouses kan väljas som plats för genvägen för den externa datadelningen när du accepterar en extern datadelning.
Återkalla externa datadelningar
Alla användare i delningsklientorganisationen som har läs- och delningsbehörigheter för ett externt delat objekt kan när som helst återkalla den externa dataresursen med hjälp av fliken Externa dataresurser på sidan Hantera behörigheter. Återkallande av externa datadelningar kan få allvarliga konsekvenser för de konsumerande hyresgästerna och bör övervägas noggrant. Mer information finns i Återkalla externa datadelningar.
Säkerhetsöverväganden
Att dela data med användare utanför din hemklientorganisation har konsekvenser för datasäkerhet och sekretess som du bör överväga. Det är viktigt att förstå de underliggande flödena för datadelning för att bättre utvärdera dessa konsekvenser.
Data delas mellan användare med hjälp av Fabric-interna säkerhetsmekanismer. Delningssäkerhetsmekanismen ger skrivskyddad åtkomst till alla användare i hemklientorganisationen för den användare som bjöds in att acceptera delningen. Data delas "på plats". Inga data kopieras, och de används inte ens förrän någon i den mottagarens klientorganisation kör en Fabric-arbetsbelastning över de delade data. Infrastrukturresurser utvärderar och tillämpar Entra-ID-baserade roller och behörigheter lokalt inom den klientorganisation som de definieras i. Det innebär att principer för åtkomstkontroll som definieras i resursens klientorganisation, till exempel semantisk säkerhet på radnivå (RLS), Microsoft Purview Information Protection-principer och Purview Data Loss Prevention-principer inte tillämpas på data som korsar organisationens gränser. I stället är det de principer som definieras i konsumentens klientorganisation som tillämpas på den inkommande resursen, på samma sätt som de tillämpas på alla data i klientorganisationen.
Med den här förståelsen i åtanke bör du vara medveten om följande:
Delaren kan inte kontrollera vem som har tillgång till data i användarens klientorganisation. Mer information om hur åtkomstkontroll i konsumentklientorganisationen genomförs finns i Information Protection i Microsoft Fabric och Power BI: Åtkomstkontroll.
Konsumenten kan bevilja åtkomst till data till vem som helst, även gästanvändare utanför konsumentens organisation.
Data kan överföras över geografiska gränser när de används i konsumentens klientorganisation.
Beaktanden och begränsningar
- Genvägar: Genvägar som finns i mappar som delas via extern datadelning fungerar inte hos konsumenten.