Qu'est-ce que l'accès inter-locataires pour les fournisseurs ?

La fonctionnalité d’accès interlocataire permet aux locataires du fournisseur de partager des données stockées dans leurs entrepôts de données Fabric et des points de terminaison d’analytique SQL avec des locataires invités. Cette fonctionnalité est utile pour les organisations qui doivent partager des données avec des locataires invités. Par exemple, lorsque l’entreprise A stocke des données Fabric pour l’entreprise B, l’entreprise B peut utiliser l’accès entre locataires pour accéder à ses données dans le locataire Fabric de l’entreprise A. Cet article s’adresse aux fournisseurs qui souhaitent configurer l’accès interlocataire.

Important

• L’accès inter-locataires pour les entrepôts de données Fabric est en aperçu limité pour les fournisseurs. Pour vous inscrire en tant que fournisseur de données entre locataires, envoyez ce formulaire.
• Pour utiliser l’accès entre locataires en tant qu’invité, vous devez suivre les étapes répertoriées dans l’accès interlocataire pour les invités et travailler avec un fournisseur approuvé.

Fonctionnement

L’accès entre locataires permet aux locataires externes d’accéder aux données stockées dans l’entrepôt de données d’un fournisseur et au point de terminaison analytique SQL. Lorsqu’un fournisseur active la possibilité pour les principaux utilisateurs du locataire invité d’utiliser cette fonctionnalité, Fabric crée des principaux de service correspondants pour chaque invité au sein du locataire du fournisseur. Le fournisseur accorde ensuite des autorisations sur l’entrepôt à ces entités de service. Les invités disposant d’autorisations peuvent accéder aux points de terminaison de l’entrepôt de données à l’aide de leurs propres informations d’identification d’ID Entra avec des outils tels que SQL Server Management Studio (SSMS). Pour ce faire, les invités s’authentifient auprès de leur organisation d’origine et sont autorisés à accéder aux points de terminaison de l’entrepôt de données.

Contrairement à B2B, l’utilisation de l’accès entre locataires dans les entrepôts de données Fabric n’accorde pas aux invités l’accès au répertoire des fournisseurs. Les fournisseurs n’ont pas besoin de gérer des utilisateurs invités individuels, lorsque les fournisseurs configurent un groupe pour l’accès entre locataires, l’appartenance au groupe est gérée par le locataire invité.

Contrairement à la fonctionnalité de partage de données externe dans Fabric, qui permet aux fournisseurs de partager des données OneLake sur place avec un autre locataire Fabric, cette fonctionnalité permet aux fournisseurs de partager des entrepôts de données avec des invités qui n’ont pas Fabric.

Responsabilités du fournisseur

1. Vérifiez que le locataire invité accepte d’utiliser la fonctionnalité d’accès entre locataires avec votre locataire (fournisseur). Les locataires invités doivent suivre les étapes répertoriées dans l’accès entre locataires pour les invités.

2. Configurez les principaux invités pour l’accès entre locataires.

3. Lorsque vous activez les entités invitées pour l'accès entre locataires, Fabric crée des principaux de service correspondants pour chaque invité dans le locataire du fournisseur et des groupes pour chaque groupe d'invités. Le fournisseur doit accorder un rôle d’espace de travail ou des autorisations sur l’entrepôt à ces principaux de services.

4. Les utilisateurs invités accéderont à l'entrepôt de données inter-locataire en utilisant un point de terminaison TDS et auront besoin d'une chaîne de connexion à cet entrepôt de données. Le fournisseur doit fournir cette chaîne de connexion aux invités. La chaîne de connexion pour l’accès entre locataires diffère de la chaîne de connexion utilisée pour l’accès au sein d’un locataire.

Configurer les principaux comptes invités pour l’accès inter-locataires

Configurer les principaux utilisateurs invités pour l’accès inter-locataires

POST https://api.fabric.microsoft.com/v1/admin/crosstenantauth/mappings

• Identités prises en charge : utilisateur et principal de service

• Autorisations requises : les utilisateurs appelant cette API doivent se trouver dans le rôle d’administrateur fabric.

• Pour vous assurer qu'un principal de service peut créer, répertorier et supprimer des mappages entre locataires qui sont créés chez un client fournisseur, l'application Fabric doit disposer de l'autorisation Microsoft Graph Group.Create. Reportez-vous aux articles suivants pour accorder l’autorisation Group.Create à l’application Fabric.

  • Accorder ou révoquer des autorisations d’API par programmation
  • Informations de référence sur les autorisations Microsoft Graph

• Les entités de service doivent être configurées pour appeler les API publiques de Fabric, les API de lecture de Fabric et les API de mise à jour.

Corps de la requête

Nom	Dans	Obligatoire	Catégorie	Descriptif
ID	Corps	Oui	Chaîne	ID d’objet de l’application ou du groupe invité
ID de locataire	Corps	Oui	Chaîne	ID de locataire invité
type	Corps	Oui	Chaîne	Utilisateur ou groupe
userDetails (en anglais)	Corps	Oui	JSON ou complexe	Détails de l’utilisateur client invité
Nom d'utilisateur principal	Corps	Oui	Chaîne	Nom principal des utilisateurs invités
détails du groupe	Corps	Oui	JSON ou complexe	Détails du groupe de locataires invités
type de groupe	Corps	Oui	Chaîne	Type de groupe de locataires invité, envoyer « Inconnu » s’il n’est pas disponible
Messagerie électronique	Corps	Oui	Chaîne	E-mail du groupe de locataires invités

Exemple de corps de la demande

Corps de la demande pour le mappage utilisateur

{  
        "id": "00000000-0000-0000-0000-000000000000", 
        "tenantId": "{guest tenant id}",  
        "type": "User",  
        "userDetails": {  
            "userPrincipalName": "user@contoso.com"  
         }  
}

Corps de la demande pour le mappage du principal de service

{  
        "id": "{object id of the Enterprise application}",  
        "tenantId": " {guest tenant id} ",   
        "type": "User" 
}

Corps de la demande pour le mappage de groupe

{  
        "id": "00000000-0000-0000-0000-000000000000", 
        "tenantId": "{guest tenant id}",  
        "type": "Group",  
        "groupDetails": {  
               "groupType": "Unknown", 
               "email": "groupemail@contoso.com"  
         }  
}

Corps de la demande pour le mappage de groupe, lorsque le groupe n’a pas d’e-mail

{ 
  "id": "{object id of the group}", 
  "tenantId": "{guest tenant id}", 
  "type": "Group" 
}

Codes de réponse

Code de réponse	Remarque
200 OK	Le groupe invité ou le principal a été configuré pour l’accès interlocataire
400 Demande incorrecte	Le principal invité n’est pas résolu
401 Non autorisé	Le locataire invité n’a pas donné son consentement
429 Trop de requêtes	Trop de requêtes, attendues 50/minute

Obtenir la liste des principaux invités activés pour l’accès entre locataires

GET https://api.fabric.microsoft.com/v1/admin/crosstenantauth/mappings

• Identités prises en charge : utilisateur et principal de service

• Autorisations requises : les utilisateurs appelant cette API doivent se trouver dans le rôle d’administrateur fabric.

• Pour vous assurer qu’un principal de service peut créer, répertorier et supprimer des mappages entre locataires créés dans un locataire de fournisseur, l’application Fabric doit disposer de l’autorisation Group.Create Microsoft Graph. Reportez-vous aux articles suivants pour accorder l’autorisation Group.Create à l’application Fabric.

  • Accorder ou révoquer des autorisations d’API par programmation
  • Informations de référence sur les autorisations Microsoft Graph

• Les entités de service doivent être configurées pour appeler les API publiques de Fabric, les API de lecture de Fabric et les API de mise à jour.

Codes de réponse

Code de réponse	Remarque
200 OK	Si aucun mappage n’existe, l’API retourne une liste vide
404 Introuvable
401 Non autorisé
429 Trop de requêtes	Trop de requêtes, attendues 50/minute

Supprimer les principaux invités activés pour l’accès interlocataire

DELETE https://api.fabric.microsoft.com/v1/admin/crosstenantauth/mappings/{mappingId}

• Identités prises en charge : utilisateur et principal de service

• Autorisations requises : les utilisateurs appelant cette API doivent se trouver dans le rôle d’administrateur fabric.

• Pour vous assurer qu’un principal de service peut créer, répertorier et supprimer des mappages entre locataires créés dans un locataire de fournisseur, l’application Fabric doit disposer de l’autorisation Group.Create Graph. Reportez-vous aux articles suivants pour accorder l’autorisation Group.Create à l’application Fabric.

  • Accorder ou révoquer des autorisations d’API par programmation
  • Informations de référence sur les autorisations Microsoft Graph

• Les entités de service doivent être configurées pour appeler les API publiques de Fabric, les API de lecture de Fabric et les API de mise à jour.

Lorsque cette API est appelée, les groupes et les entités de service créées pour les entités invitées cessent de fonctionner immédiatement. Cependant, le mappage reste dans la base de données pendant plus d'une journée et apparaîtra dans la réponse de l’API GET de mappage.

Corps de la requête

Nom	Dans	Obligatoire	Catégorie	Descriptif
identifiant de mappage	Chemin	Oui	Chaîne	Identifiant de mappage

Codes de réponse

Code de réponse	Remarque
200 OK
404 Introuvable
401 Non autorisé
429 Trop de requêtes	Trop de requêtes, attendues 50/minute

Accorder un rôle ou des autorisations d'espace de travail aux principaux de service

Les utilisateurs autorisés du locataire fournisseur peuvent attribuer un rôle d’espace de travail aux groupes ou aux entités de service créés pour représenter les invités, à l’aide de l’API REST d’attribution de rôle d’espace de travail ou de l’interface utilisateur Fabric. Ils peuvent également partager l’entrepôt de données avec des groupes et des principaux de service.

Obtenir la chaîne de connexion SQL qui peut être utilisée par les principaux invités

Les utilisateurs autorisés du locataire fournisseur peuvent appeler cette API pour obtenir la chaîne de connexion SQL de l’espace de travail spécifié pour un locataire invité spécifique.

• Identités prises en charge : utilisateur, principal de service et identités managées
• Autorisations requises : l’appelant doit avoir le rôle de Visionneuse ou un rôle supérieur dans l'espace de travail.

GET https://api.fabric.microsoft.com/v1/workspaces/{workspaceId}/warehouses/{warehouseId}/connectionString?guestTenantId={guestTenantId}&privateLinkType={privateLinkType}

Corps de la requête

Nom	Dans	Obligatoire	Catégorie	Descriptif
warehouseId	Chemin	Vrai	Chaîne	ID de l’entrepôt
ID d'espace de travail	Chemin	Vrai	Chaîne	Identifiant de l’espace de travail
Identifiant de locataire invité	Requête		Chaîne	ID de locataire invité si le locataire de l’utilisateur final est différent du locataire de l’entrepôt
privateLinkType	Requête		Chaîne	Aucun (aucune liaison privée ou liaison privée au niveau du locataire) ou espace de travail (liaison privée de l’espace de travail)

Codes de réponse

Code de réponse	Remarque
200 OK	Retourne la chaîne de connexion en réponse
404 Introuvable	ItemNotFound : l’élément demandé n’a pas été trouvé. InvalidGuestTenantId - L’ID de locataire invité fourni n’existe pas

Corps de réponse d’échantillon

{ 
  "connectionString": "DW connection string" 
}

Gouvernance de l’accès inter-tenant

1. Utilisez l’API de mappage d’authentification inter-locataires GET - Vous pouvez utiliser l’API GET de mappages d’authentification inter-locataires pour passer en revue les utilisateurs et groupes invités du locataire pouvant potentiellement accéder aux entrepôts et aux points de terminaison SQL dans votre locataire. Ces utilisateurs doivent également disposer d’autorisations sur les éléments.

2. Utilisez les journaux d’audit dans Purview : accédez au hub Microsoft Purview, où vous pouvez rechercher les types d’événements suivants pour obtenir des informations détaillées sur le mappage des activités CRUD et de génération de jetons en tant que fournisseur.

   • Création de mappage d’authentification entre plusieurs locataires
   • Mappage d’authentification interlocataire répertorié
   • Suppression du mappage d’authentification entre locataires
   • Création de jeton d'authentification entre locataires
   • Effacer les données des locataires invités pour l'authentification inter-locataires (généré lorsque les mappages sont supprimés après la révocation du consentement par le locataire invité)

   Les locataires invités peuvent voir les types d’événements suivants :

   • Authentification croisée des locataires avec consentement
   • Révoquer le consentement pour l'authentification inter-tenants

3. Gouverner les principaux de service et les groupes créés dans Microsoft Entra (administrateur général, administrateur d’application ou autres utilisateurs à privilège élevé uniquement) : vous pouvez également consulter les principaux de service et les groupes créés dans Microsoft Entra pour permettre aux principaux de locataire invité d’accéder aux données entre locataires. D’autres expériences Azure telles que les journaux de connexion (connexions du principal de service) affichent les détails de connexion du principal de service correspondant aux activités de connexion des utilisateurs du locataire invité. Les journaux d’audit Microsoft Entra fournissent également des informations sur l’activité de création de groupe effectuée par Fabric. Les applications Fabric Identity et les inscriptions d’applications créées par Fabric pour l’accès interlocataire ne doivent pas être modifiées ni supprimées. Les fournisseurs doivent supprimer les mappages s’ils souhaitent supprimer un FabricIdentity créé pour l’accès entre locataires.

Responsabilités de l’invité

1. Vérifiez que vous approuvez le fournisseur avant de consentir à utiliser la fonctionnalité d’accès interlocataire des entrepôts de données Fabric avec le fournisseur. Les invités doivent suivre les étapes mentionnées dans l’article accès entre locataires pour invités.

2. Le locataire invité est chargé de créer et de gérer des groupes Microsoft Entra configurés pour l’accès entre locataires.

3. Le locataire invité est chargé de gérer l’accès conditionnel ou les stratégies MFA pour leurs utilisateurs. Ces stratégies sont appliquées lorsque les utilisateurs invités tentent alors d’accéder à des entrepôts de données interlocataires.

Restrictions et considérations

1. Pour garantir qu'un principal de service puisse créer, répertorier et supprimer tout mappage entre locataires créé dans un locataire fournisseur, l'application Fabric doit appartenir au groupe. Créer une autorisation Graph. Consultez les documents suivants pour attribuer des droits au groupe. Créer une autorisation pour l’application Fabric.

   • Accorder ou révoquer des autorisations d’API par programmation
   • Informations de référence sur les autorisations Microsoft Graph

2. L’accès conditionnel ou les stratégies MFA des locataires invités sont appliquées lors de la connexion par les utilisateurs invités.

3. Le locataire invité est chargé de créer et de gérer des groupes Microsoft Entra configurés pour l’accès entre locataires.

4. Fabric effectue l’extension de groupe pour les groupes invités qui ont été configurés pour l’accès interlocataire toutes les heures. Cela signifie que si un utilisateur est ajouté à un groupe dans le locataire invité et que le groupe est déjà configuré pour l’accès entre locataires, il peut prendre jusqu’à 1 heure pour que cet utilisateur puisse accéder à l’entrepôt de données interlocataire.

5. Si un utilisateur obtient ses autorisations par son appartenance à un groupe, cela peut prendre jusqu'à 1 heure pour que les modifications d’autorisation soient appliquées dans l’entrepôt de données. Si les utilisateurs reçoivent directement des autorisations (autrement dit, pas par le biais d’un groupe), les modifications d’autorisation sur l’entrepôt de données sont immédiatement reflétées.

6. Limites de ressources et recyclage des principaux de service (SPNs) : les principaux de service et les groupes créés pour les utilisateurs inter-locataires ont un impact sur les limites de ressources dans le locataire du fournisseur. Pour plus d’informations, reportez-vous aux limites d’ID Microsoft Entra. Fabric vous permet de créer jusqu’à 100 000 entités de service pour l'accès inter-locataires, mais vos limites de ressources pourraient être atteintes avant cela. Si un invité ne se connecte pas à un entrepôt sur une période de cinq jours, nous supprimons le principal de service associé à ce principal invité pour contrôler les limites des ressources.

7. Les invités ne peuvent pas exécuter d’API publiques. Les principaux de service et les groupes créés pour les utilisateurs interlocataires ne peuvent actuellement pas exécuter d’API publiques. Cela s’applique à l’audit, aux instantanés et aux pools SQL. Par exemple, seuls les utilisateurs du locataire fournisseur peuvent créer un instantané ; L’utilisateur invité ne peut pas exécuter l’API pour le créer, mais il peut interroger l’instantané. De même, pour l’audit de l'utilisateur invité, il est possible d'exécuter uniquement la fonction de table à valeurs (TVF) d’audit, mais pas les interfaces de programmation (API) pour activer ou désactiver les journaux.

8. Lorsqu’un locataire invité révoque le consentement, les invités perdent l’accès aux entrepôts dans le locataire du fournisseur dans un délai d’un jour. Toutefois, les sessions existantes ne sont pas affectées.

9. Dans certaines circonstances, les principaux invités peuvent ne pas être en mesure d’accéder à des entrepôts de données interlocataires pendant plusieurs heures après la configuration du principal invité pour l’accès entre locataires.