次の方法で共有

Microsoft Fabric での外部データ共有

  • [アーティクル]

Fabric 外部データ共有は、Fabric ユーザーがテナントのデータを別の Fabric テナントのユーザーと共有できるようにする機能です。 データは、共有元のテナント内の OneLake 保存場所からインプレースで共有されます。つまり、データは実際には他のテナントにコピーされません。 代わりに、このテナント間共有では、共有元のテナント内にある元のデータを指す OneLake のショートカットが他のテナントに作成されます。 テナントの境界を越えて共有されるデータは、読み取り専用として他のテナントのユーザーに公開され、そのテナント内の OneLake と互換性のある Fabric ワークロードで使用できます。

テナント間の OneLake データ共有の図。

Fabric OneLake データのこの外部データ共有機能は、Power BI セマンティック モデルを Microsoft Entra B2B ゲスト ユーザーと共有するために存在するメカニズムとは関係ありません。

外部データ共有のしくみ

外部データ共有の前提条件として、Fabric 管理者は、共有元のテナントと外部テナントの両方で外部データ共有を有効にする必要があります。 外部データ共有を有効にする場合、外部データ共有を作成するユーザーおよび受け入れるユーザーを指定する作業が必要になります。 詳細については、外部データ共有の有効化に関する記事を参照してください。

外部データ共有の作成を許可されているユーザーは、共有される項目に対する標準の Fabric 読み取りおよび再共有アクセス許可を持っている限り、サポートされている Fabric 項目内のテーブルまたはファイルに存在するデータを共有できます。 共有を作成するユーザーは、別のテナントから、外部データ共有を受け入れるユーザーを招待します。 このユーザーは、共有を受け入れる場合に使用するリンクを受け取ります。 受信者は共有の受け入れ時に、共有データへのショートカットの作成先となる lakehouse を選択します。

外部データ共有リンクは、外部データ共有が作成されたテナント内のユーザーには機能しません。 機能するのは外部テナントのユーザーに対してのみです。 OneLake ストレージ アカウントのデータを同じテナントのユーザーと共有するには、OneLake のショートカットを使用します。

Note

テナント間データ アクセスは、専用の Fabric 間認証メカニズムを介して有効になるため、Entra B2B ゲスト ユーザー アクセスは必要ありません。

サポートされている Fabric 項目の種類

外部データ共有で使用できる Fabric 項目の種類は次のとおりです。

  • 外部データ共有の作成 (プロバイダー テナント): 外部データ共有は、レイクハウスとミラー化されたデータベース内のテーブルまたはファイルに存在するデータに対してのみ作成できます。

  • 外部データ共有の受け入れ (使用側テナント): 外部データ共有を受け入れるときに、外部データ共有ショートカットの場所として選択できるのはレイクハウスのみです。

外部データ共有の取り消し

外部と共有されている項目に対する読み取りと再共有のアクセス許可を持つ共有テナントのユーザーは、[アクセス許可の管理] ページの [外部データ共有] タブを使用して、いつでも外部データ共有を取り消すことができます。 外部データ共有の取り消しは、使用しているテナントに重大な影響を与える可能性があり、慎重に検討する必要があります。 詳細については、「外部データ共有の取り消し」を参照してください。

セキュリティに関する考慮事項

ホーム テナントの外部のユーザーとデータを共有することは、データのセキュリティとプライバシーに影響を与えるため、考慮する必要があります。 これらの影響をより適切に評価するには、データ共有の基になるフローを理解することが重要です。

データがテナント間で共有されるときに、Fabric 内部のセキュリティ メカニズムが使用されます。 共有セキュリティ メカニズムは、共有を受け入れるように招待されたユーザーのホーム テナント内のすべてのユーザーに読み取り専用アクセス権を付与します。 データは "インプレース" で共有されます。 データはコピーされず、受信側のテナントのユーザーが共有データに対して Fabric ワークロードを実行するまで、アクセスされることはありません。 Fabric は、Entra ID ベースの役割とアクセス許可を、それらが定義されているテナント内でローカルで評価し、適用します。 つまり、セマンティック モデルの行レベル セキュリティ (RLS)、Microsoft Purview 情報保護ポリシー、Purview データ損失防止ポリシーなど、共有元のテナントで定義されているアクセス制御ポリシーは、組織の境界を越えるデータには適用されません。 受信する共有に対して適用されるのは、コンシューマーのテナントで定義されたポリシーです。つまり、そのテナント内のデータにポリシーが適用されるのと同じ仕組みです。

この理解を念頭に置いて、次の点に注意してください。

  • 共有元は、コンシューマーのテナント内のデータにアクセスできるユーザーを制御できません。

  • コンシューマーは、コンシューマーの組織外のゲスト ユーザーを含むすべてのユーザーに、データへのアクセスを許可できます。

  • コンシューマーのテナント内でデータにアクセスすると、地理的境界を越えてデータが転送される場合があります。

考慮事項と制限事項

  • ショートカット: 外部データ共有を介して共有されているフォルダーに含まれるショートカットは、コンシューマー テナントでは解決されません。

  • スキーマの共有: スキーマ全体の共有は機能しません。レイクハウスはデータベース スキーマをサポートしていますが、共有すると機能しなくなります。

  • 非ホーム リージョンの外部データ共有: 外部データ共有は、テナントと同じリージョンにある容量でのみ受け入れることができます。 たとえば、テナントが米国東部にあり、2 つの容量 (米国東部に 1 つと米国西部に 1 つ) がある場合、ユーザーは米国西部の容量を使用するレイクハウスの共有を受け入れることができません。

関連するコンテンツ