Microsoft Fabric 中的外部数据共享
Fabric 外部数据共享是一项功能,使 Fabric 用户能够与另一 Fabric 租户中的用户共享其租户中的数据。 数据从共享者的租户中的 OneLake 存储位置就地共享,这意味着实际上不会将数据复制到另一个租户中。 相反,此跨租户共享会在其他租户中创建一个 OneLake 快捷方式,指向共享者租户中的原始数据。 将以只读方式向其他租户中的用户公开跨租户边界共享的数据,这些数据可由该租户中 OneLake 兼容的任何 Fabric 工作负载使用。
Fabric OneLake 数据的这项外部数据共享功能与用于与 Microsoft Entra B2B 来宾用户共享 Power BI 语义模型的机制无关。
外部数据共享的工作原理
作为外部数据共享的先决条件,Fabric 管理员需要在共享者的租户和外部租户中启用外部数据共享。 启用外部数据共享包括指定可以创建和接受外部数据共享的人员。 有关详细信息,请参阅启用外部数据共享。
有权创建外部数据共享的用户可以共享驻留在受支持 Fabric 项中的表或文件中的数据,只要他们具有共享项的标准 Fabric 读取和重新共享权限。 创建共享的用户邀请另一个租户中的用户接受外部数据共享。 此用户收到用于接受共享的链接。 接受共享后,收件人会选择将在其中创建共享数据的快捷方式的湖屋。
外部数据共享链接不适用于创建外部数据共享的租户中的用户。 它们仅适用于外部租户中的用户。 若要与同一租户中的用户共享 OneLake 存储帐户中的数据,请使用 OneLake 快捷方式。
注意
跨租户数据访问是通过专用 Fabric 到 Fabric 身份验证机制启用的,不需要 Entra B2B 来宾用户访问。
支持的 Fabric 项类型
下面列出了可在外部数据共享中使用的 Fabric 项类型。
创建外部数据共享(提供商租户):只能为驻留在 lakehouse 和镜像数据库中的表或文件中的数据创建外部数据共享。
接受外部数据共享(使用租户):接受外部数据共享时,只能选择 lakehouse 作为外部数据共享快捷方式的位置。
撤销外部数据共享
共享租户中拥有对外部共享项的读取和重新共享权限的任何用户都可以随时使用“管理权限”页上的“外部数据共享”选项卡撤销外部数据共享。 撤销外部数据共享可能会对使用租户产生严重影响,应谨慎考虑。 有关详细信息,请参阅撤销外部数据共享。
安全注意事项
与主租户外部的用户共享数据会对数据安全和隐私有影响,应谨慎考虑。 理解数据共享的底层流对于更好地评估这些影响非常重要。
数据是使用 Fabric 内部安全机制跨租户共享的。 共享安全机制向受邀接受共享的用户的主租户中的“任何用户”授予只读访问权限。 数据是“就地”共享的。 不会复制任何数据,甚至在接收租户中有人通过共享数据执行 Fabric 工作负载之前,都不会对其进行访问。 Fabric 在定义的租户中本地评估并强制实施基于 Entra-ID 的角色和权限。 这意味着,在共享者租户中定义的访问控制策略(例如语义模型行级别安全性 (RLS))、Microsoft Purview 信息保护策略和 Purview 数据丢失防护策略不会对跨越组织边界的数据强制执行。 相反,它是在使用者的租户中定义的策略,对传入共享强制执行,就像对该租户中的任何数据强制执行一样。
考虑到这一点,请注意以下几项:
共享者无法控制谁有权访问使用者租户中的数据。
使用者可以向任何人(甚至是来自使用者组织外部的来宾用户)授予对数据的访问权限。
在使用者租户中访问数据时,可能会跨地理边界传输数据。
注意事项和限制
“快捷方式:”通过外部数据共享共享的文件夹中包含的快捷方式不会在使用者租户中解析。
共享架构:共享整个架构不起作用:湖屋支持数据库架构,但如果共享一个架构,则不起作用。
非主区域中的外部数据共享:只能在与租户位于同一区域的容量中接受外部数据共享。 例如,如果租户位于美国东部,并且有两个容量,一个位于美国东部,另一个位于美国西部,则用户将无法接受湖屋中使用美国西部容量的共享。