Fabric 外部データ共有は、Fabric ユーザーがテナントのデータを別の Fabric テナントのユーザーと共有できるようにする機能です。 データは、共有元のテナント内の OneLake 保存場所からインプレースで共有されます。つまり、データは実際には他のテナントにコピーされません。 代わりに、このテナント間共有では、共有元のテナント内にある元のデータを指す OneLake のショートカットが他のテナントに作成されます。 テナントの境界を越えて共有されるデータは、読み取り専用として他のテナントのユーザーに公開され、そのテナント内の OneLake と互換性のある Fabric ワークロードで使用できます。
Fabric OneLake データのこの外部データ共有機能は、Power BI セマンティック モデルを Microsoft Entra B2B ゲスト ユーザーと共有するために存在するメカニズムとは関係ありません。
外部データ共有のしくみ
外部データ共有の前提条件として、Fabric 管理者は、共有元のテナントと外部テナントの両方で外部データ共有を有効にする必要があります。 外部データ共有を有効にする場合、外部データ共有を作成するユーザーおよび受け入れるユーザーを指定する作業が必要になります。 詳細については、外部データ共有の有効化に関する記事を参照してください。
外部データ共有の作成を許可されているユーザーは、共有されるアイテムに対する標準の Fabric 読み取りと再共有のアクセス許可を持っている限り、 サポートされている Fabric アイテム内のテーブルまたはファイルに存在するデータを共有できます。 共有を作成するユーザーは、別のテナントから、外部データ共有を受け入れるユーザーを招待します。 このユーザーは、共有を受け入れる場合に使用するリンクを受け取ります。 受信者は共有の受け入れ時に、共有データへのショートカットの作成先となる lakehouse を選択します。
外部データ共有リンクは、外部データ共有が作成されたテナント内のユーザーには機能しません。 機能するのは外部テナントのユーザーに対してのみです。 OneLake ストレージ アカウントのデータを同じテナントのユーザーと共有するには、OneLake のショートカットを使用します。
注
テナント間データ アクセスは、専用の Fabric 間認証メカニズムを介して有効になるため、Entra B2B ゲスト ユーザー アクセスは必要ありません。
サポートされている Fabric 項目の種類
外部データ共有で使用できる Fabric 項目の種類は次のとおりです。
外部データ共有 (プロバイダー テナント) の作成: 外部データ共有は、Lakehouses および Warehouse 内のテーブルまたはファイル、および KQL、SQL、およびミラー化されたデータベースに対して作成できます。
外部データ共有の受け入れ (使用側テナント): 外部データ共有を受け入れるときに、外部データ共有ショートカットの場所として選択できるのはレイクハウスのみです。
外部データ共有の取り消し
外部共有アイテムに対する読み取りと再共有のアクセス許可を持つ共有テナント内のすべてのユーザーは、[アクセス許可の管理] ページの [外部データ共有] タブを使用して、いつでも 外部データ共有 を取り消すことができます。 外部データ共有の取り消しは、使用しているテナントに重大な影響を与える可能性があり、慎重に検討する必要があります。 詳細については、「 外部データ共有の取り消し」を参照してください。
セキュリティに関する考慮事項
ホーム テナントの外部のユーザーとデータを共有することは、データのセキュリティとプライバシーに影響を与えるため、考慮する必要があります。 これらの影響をより適切に評価するには、データ共有の基になるフローを理解することが重要です。
データがテナント間で共有されるときに、Fabric 内部のセキュリティ メカニズムが使用されます。 共有セキュリティ メカニズムは、共有を受け入れるように招待されたユーザーのホーム テナント内のすべてのユーザーに読み取り専用アクセス権を付与します。 データは "インプレース" で共有されます。データはコピーされず、受信側のテナントのユーザーが共有データに対して Fabric ワークロードを実行するまでアクセスされません。 Fabric は、Entra ID ベースのロールとアクセス許可を、定義されているテナント内でローカルで評価して適用します。 つまり、セマンティック モデルの行レベル セキュリティ (RLS)、Microsoft Purview 情報保護ポリシー、Purview データ損失防止ポリシーなど、共有元のテナントで定義されているアクセス制御ポリシーは、組織の境界を越えるデータには適用されません。 むしろ、コンシューマーのテナントで定義されているポリシーは、そのテナント内のデータに対する方法と同様に、受信した共有データにも適用されます。
この理解を念頭に置いて、次の点に注意してください。
共有元は、コンシューマーのテナント内のデータにアクセスできるユーザーを制御できません。 コンシューマー テナントに適用されるアクセス制御の適用方法の詳細については、「Microsoft Fabric と Power BI の 情報保護: アクセス制御」を参照してください。
コンシューマーは、コンシューマーの組織外のゲスト ユーザーを含むすべてのユーザーに、データへのアクセスを許可できます。
コンシューマーのテナント内でデータにアクセスすると、地理的境界を越えてデータが転送される場合があります。
考慮事項と制限事項
- ショートカット: 外部データ共有を介して共有されているフォルダーに含まれるショートカットは、コンシューマー テナントでは解決されません。