レイクハウスを共有すると、ユーザーは、ワークスペースとその残りの項目へのアクセス権を付与することなく、他のユーザーまたはユーザーのグループにレイクハウスへのアクセス権を付与します。 他のユーザーが共有した項目の一覧を表示するには、Fabric ナビゲーション バーで [参照] を選択し、[共有項目] を選択します。 また、OneLake カタログで他のユーザーが共有しているレイクハウスを確認することもできます。
レイクハウスを共有すると、SQL 分析エンドポイントへのアクセスも許可されます。
共有する前に
レイクハウスを共有する前に、次の前提条件が満たされていることを確認します。
- アイテムを共有するアクセス許可があります。 ワークスペース 管理者 ロールと メンバー ロールは、既定で共有できます。 ワークスペース 共同作成者 ロールと ビューアー ロールは、Lakehouse に対する共有 (再共有) アクセス許可が付与されている場合にのみ 共有 できます。 詳細については、「 ワークスペースのロール」 および 「Microsoft Fabric のアイテムを共有する」を参照してください。
- 受信者は組織のテナントにアクセスでき、共有リンクを受け取ることができます。
- 共有すると、読み取りアクセスのみが許可されることを理解しています。 ワークスペースのメンバーシップや書き込みアクセス許可は付与されません。
共有とアクセス許可
既定では、lakehouse を共有すると、Lakehouse と関連する SQL 分析エンドポイントに対する Fabric Read アクセス許可が付与されます。 Lakehouse 共有は書き込みアクセス許可を提供しません。共有ユーザーはデータを読み取ることができますが、変更することはできません。
追加のアクセス許可を付与することもできます。
| 権限 | それが可能にする内容 |
|---|---|
| 読み取り | 共有のレイクハウスアイテムを開きます。 |
| SQL 分析エンドポイントを使用してすべてを読み取る | SQL ポリシーなしで T-SQL を介して SQL 分析エンドポイントからデータを読み取ります。 |
| Apache Spark ですべてを読み取る | Apache Spark API と OneLake API を使用して Lakehouse データを読み取ります。 |
| SubscribeOneLakeEvents | レイクハウス用に生成された OneLake イベントをサブスクライブします。 |
Important
Apache Spark を使用してすべてを読み取ることは追加のアクセス許可であり、読み取りを置き換えるものではありません。 アイテムを共有すると、読み取り権限は常に 含まれています。 Spark および OneLake API アクセスが必要なユーザーの場合は、ベース共有アクセスに加えて、 Apache Spark ですべて読み取 りを許可します。 詳細については、「 Microsoft Fabric でアイテムを共有する」を参照してください。
レイクハウスを共有する
レイクハウスを共有するには、ワークスペースに移動し、レイクハウス名の横にある [共有] アイコンを選択します。 省略記号 (...) を選択し、その後、その他のオプション メニューで共有を選択することもできます。 [ユーザーにアクセス権を付与する] の画面のフィールドに入力し、[許可] を選択します。
アクセス許可を編集または削除するには、「アクセス許可の管理」に関する記事を参照してください。
アクセス許可の管理
アイテムを共有した後、そのアイテムの [直接アクセス] 画面でアクセス許可を編集または削除できます。
レイクハウスのアクセス許可を管理するには:
- ワークスペースに移動し、lakehouse 名の横にある省略記号 (...) を選択します。
- [その他のオプション] で、[アクセス許可の管理] を選択します。
- 直接アクセスで、既存のアクセス エントリを確認します。
- カスタムアクセス許可を追加するか、必要に応じてアクセスとカスタムアクセス許可を削除します。
フォルダー レベルのアクセス制御
OneLake セキュリティアクセス許可 (プレビュー) を使用すると、レイクハウス内にカスタム ロールを作成し、OneLake 内の特定のフォルダー にのみ読み取りアクセス許可 を付与できます。 OneLake セキュリティでは、書き込みアクセス許可は付与されません 。既に lakehouse への基本的な読み取りアクセス権を持っているユーザーに対してのみ、読み取りアクセスをきめ細かく制御できます。 書き込み権限は、ワークスペースのロール(共同作成者以上)を通じて付与し続ける必要があります。 OneLake フォルダーのセキュリティは、すべてのサブフォルダーに対して継承できます。 OneLake ロールごとに、ユーザーとセキュリティ グループを割り当てたり、ワークスペース ロールに基づいて自動割り当てを付与したりできます。
OneLake ロールベースのアクセス制御 (RBAC) の詳細を確認してください。
OneLake セキュリティの概念の概要については、「 データ セキュリティの概要」を参照してください。
OneLake セキュリティ ロール
新しいデータ アクセス ロールを作成するには:
新しいロールを定義するレイクハウスを開きます。
リボンから [OneLake セキュリティの管理 (プレビュー)] を選択し、Lakehouse のデータ アクセス ロール (プレビュー) を有効にすることを確認します。
[ 新しいロール ] を選択し、ロールの名前を入力します。
このロールをこのレイクハウス内のすべてのフォルダーに適用する場合は、[すべてのフォルダー] を選択します。 ロールを選択したフォルダーにのみ適用する場合は、[選択したフォルダー] を選択し、関連するフォルダーを選択します。
[保存] を選択します。 新しいロールの作成を確認する通知が表示されます。
[<ロール名>の編集] ウィンドウで、新しいロールに読み取りアクセス許可を付与します。 これを行うには、[ロールの割り当て] を選択します。
割り当てるアクセス許可を選択し、[ユーザーまたはグループの追加] フィールドに名前またはメール アドレスを入力し、[追加] を選択します。
[割り当てられたユーザーとグループ] で割り当て先リストを確認し、リストに不要なユーザーを削除して、[保存] を選択します。
詳細については、「 OneLake セキュリティ ロールの概要」を参照してください。
一般的な問題のトラブルシューティング
共有またはアクセス許可の更新が期待どおりに動作しない場合は、次のチェックを使用します。
- [共有] を選択できません。lakehouse の共有アクセス許可 (既定では管理者またはメンバー、または明示的な共有アクセス許可) があることを確認してください。 ロールの動作については、「 ワークスペースのロール」を参照してください。
- ユーザーはアイテムを開くことができますが、データのクエリを実行できません。受信者がアクセス パスに必要なアクセス許可を持っていることを確認します (SQL エンドポイント アクセスの場合は SQL 分析エンドポイントですべて読み取り 、Apache Spark for Spark と OneLake API を 使用してすべて読み取 ります)。 アクセス許可の定義については、「 Microsoft Fabric でアイテムを共有する」を参照してください。
- 変更後もユーザーは古いアクセス権を持ちます。アクセス許可の更新は、サインインしているユーザーに反映されるまでに最大 2 時間かかることがあります。 直接アクセスリストを再確認し、受信者にもう一度更新またはサインインするように依頼します。 プラットフォームの動作の詳細については、「 Microsoft Fabric でアイテムを共有する」を参照してください。
既知の問題
Lakehouse の共有ダイアログには、OneLake イベントをサブスクライブするオプションが表示されます。 このイベントをサブスクライブするためのアクセス許可は、Apache Spark のすべてを読むアクセス許可と共に付与されます。 これは一時的な制限です。